BIND DNS سرور 9.11.18 ۽ 9.16.2 جي مستحڪم شاخن لاءِ اصلاحي تازه ڪاريون، گڏوگڏ تجرباتي برانچ 9.17.1، جيڪا ترقي ۾ آهي. نئين رليز ۾ حملن جي خلاف غير موثر دفاع سان لاڳاپيل سيڪيورٽي مسئلو "»جڏهن DNS سرور جي موڊ ۾ ڪم ڪري اڳتي وڌڻ جي درخواستن (سيٽنگن ۾ "فارورڊرز" بلاڪ). ان کان علاوه، ڪم ڪيو ويو آهي ڊي اين ايس ايس اي سي لاءِ ميموري ۾ ذخيرو ٿيل ڊجيٽل دستخطي انگن اکرن جي سائيز کي گھٽائڻ لاءِ - ٽريڪ ڪيل چيڪن جو تعداد گھٽائي 4 تائين هر زون لاءِ، جيڪو 99٪ ڪيسن ۾ ڪافي آهي.
"DNS ريبائنڊنگ" ٽيڪنڪ اجازت ڏئي ٿي، جڏهن هڪ صارف برائوزر ۾ هڪ خاص صفحو کوليندو آهي، اندروني نيٽ ورڪ تي نيٽ ورڪ سروس سان WebSocket ڪنيڪشن قائم ڪرڻ جي اجازت ڏئي ٿي جيڪا انٽرنيٽ ذريعي سڌو رسائي نه ٿي سگهي. موجوده ڊومين جي دائري کان ٻاهر وڃڻ جي خلاف برائوزرن ۾ استعمال ٿيل تحفظ کي بائي پاس ڪرڻ لاءِ (ڪراس اصل)، ڊي اين ايس ۾ ميزبان جو نالو تبديل ڪريو. حملي ڪندڙ جي ڊي اين ايس سرور کي ترتيب ڏنو ويو آهي ٻه IP پتي هڪ هڪ ڪري موڪلڻ لاءِ: پهرين درخواست موڪلي ٿي سرور جي حقيقي IP صفحي سان، ۽ بعد ۾ درخواستون ڊيوائس جي اندروني ايڊريس موٽائي ٿي (مثال طور، 192.168.10.1).
پهرين جواب لاءِ رهڻ جو وقت (TTL) گهٽ ۾ گهٽ قيمت تي مقرر ڪيو ويو آهي، تنهن ڪري جڏهن صفحو کوليو ويندو، برائوزر حملي ڪندڙ جي سرور جي حقيقي IP کي طئي ڪري ٿو ۽ صفحي جي مواد کي لوڊ ڪري ٿو. صفحو JavaScript ڪوڊ هلائي ٿو جيڪو TTL جي ختم ٿيڻ جو انتظار ڪري ٿو ۽ هڪ ٻي درخواست موڪلي ٿو، جيڪو هاڻي ميزبان کي 192.168.10.1 طور سڃاڻي ٿو. هي JavaScript کي مقامي نيٽ ورڪ جي اندر سروس تائين رسائي جي اجازت ڏئي ٿو، ڪراس-آرياين پابندي کي پاس ڪندي. BIND ۾ اهڙن حملن جي خلاف خارجي سرورز کي موجوده اندروني نيٽ ورڪ جي IP پتي کي واپس ڪرڻ يا مقامي ڊومينز لاءِ CNAME عرف رد ڪرڻ-جواب-پتا ۽ رد-جواب-الائسز سيٽنگون استعمال ڪندي بلاڪ ڪرڻ تي ٻڌل آهي.
جو ذريعو: opennet.ru