BIND DNS servera 9.11.18 un 9.16.2 stabilo atzaru, kā arī izstrādes stadijā esošās eksperimentālās filiāles 9.17.1 koriģējošie atjauninājumi. Jaunajos izlaidumos drošības problēma, kas saistīta ar neefektīvu aizsardzību pret uzbrukumiem"» strādājot DNS servera režīmā pieprasījumu pārsūtīšana (iestatījumos bloks "ekspeditori"). Turklāt ir veikts darbs pie DNSSEC atmiņā glabājamās digitālā paraksta statistikas apjoma samazināšanas - katrai zonai izsekoto atslēgu skaits ir samazināts līdz 4, kas ir pietiekami 99% gadījumu.
“DNS pārsaistīšanas” paņēmiens ļauj, kad lietotājs pārlūkprogrammā atver noteiktu lapu, izveidot WebSocket savienojumu ar tīkla pakalpojumu iekšējā tīklā, kas nav pieejams tieši caur internetu. Lai apietu pārlūkprogrammās izmantoto aizsardzību pret pašreizējā domēna darbības jomu (starp izcelsmes), mainiet resursdatora nosaukumu DNS. Uzbrucēja DNS serveris ir konfigurēts, lai pa vienam nosūtītu divas IP adreses: pirmais pieprasījums kopā ar lapu nosūta servera reālo IP, un nākamie pieprasījumi atgriež ierīces iekšējo adresi (piemēram, 192.168.10.1).
Dzīvošanas laiks (TTL) pirmajai atbildei ir iestatīts uz minimālu vērtību, tāpēc, atverot lapu, pārlūkprogramma nosaka uzbrucēja servera īsto IP un ielādē lapas saturu. Lapā tiek palaists JavaScript kods, kas gaida, līdz beidzas TTL, un nosūta otru pieprasījumu, kas tagad identificē resursdatoru kā 192.168.10.1. Tas ļauj JavaScript piekļūt pakalpojumam lokālajā tīklā, apejot pārrobežu izcelsmes ierobežojumu. BIND aizsardzība pret šādiem uzbrukumiem ir balstīta uz bloķēšanu ārējiem serveriem no pašreizējā iekšējā tīkla IP adrešu atgriešanas vai vietējo domēnu CNAME aizstājvārdu atgriešanas, izmantojot iestatījumu noraidīšanas adreses un noliegt atbildes aizstājvārdus.
Avots: opennet.ru