Корективна ажурирања стабилних грана БИНД ДНС сервера 9.11.18 и 9.16.2, као и експерименталне гране 9.17.1 која је у развоју. У новим издањима безбедносни проблем повезан са неефикасном одбраном од напада"» када радите у режиму ДНС сервера за прослеђивање захтева (блок „прослеђивачи“ у подешавањима). Поред тога, радило се на смањењу величине статистике дигиталног потписа која се чува у меморији за ДНССЕЦ – број праћених кључева је смањен на 4 за сваку зону, што је довољно у 99% случајева.
Техника „ДНС поновног повезивања“ омогућава, када корисник отвори одређену страницу у претраживачу, да успостави ВебСоцкет везу са мрежном услугом на интерној мрежи којој није доступан директно преко Интернета. Да бисте заобишли заштиту која се користи у прегледачима од преласка из опсега тренутног домена (унакрсно порекло), промените име хоста у ДНС-у. ДНС сервер нападача је конфигурисан да шаље две ИП адресе једну по једну: први захтев шаље стварну ИП адресу сервера са страницом, а следећи захтеви враћају интерну адресу уређаја (на пример, 192.168.10.1).
Време живота (ТТЛ) за први одговор је постављено на минималну вредност, тако да приликом отварања странице претраживач одређује прави ИП сервера нападача и учитава садржај странице. Страница покреће ЈаваСцрипт код који чека да ТТЛ истекне и шаље други захтев, који сада идентификује хост као 192.168.10.1. Ово омогућава ЈаваСцрипт-у да приступи сервису унутар локалне мреже, заобилазећи ограничење више порекла. против таквих напада у БИНД-у се заснива на блокирању спољних сервера да враћају ИП адресе тренутне интерне мреже или ЦНАМЕ псеудониме за локалне домене користећи подешавања дени-ансвер-аддрессес и дени-ансвер-алиасес.
Извор: опеннет.ру