BIND

BIND (Berkeley Internet Name Domain) to oparte na wierszu polecenia oprogramowanie UNIX, które rozpowszechnia implementację protokołów DNS (Open Name Name) systemu nazw domenowych (DNS). Składa się z biblioteki resolwera, serwera / demona o nazwie "named", a także narzędzi programowych do testowania i sprawdzania poprawności działania serwerów DNS.

Pierwotnie napisany na Uniwersytecie Kalifornijskim w Berkeley, BIND został zaakceptowany przez wiele organizacji, w tym Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, Amerykańską Agencję ds. Obronnych Systemów Informacyjnych, USENIX Association, Process Software Corporation, Nominum, i Stichting NLNet & ndash; NLNet Foundation.

Jak już wspomniano, BIND składa się z serwera nazw domen, biblioteki systemu rozpoznawania nazw domen oraz narzędzi programowych do testowania serwerów. Podczas implementacji serwera DNS odpowiada za odpowiedzi na wszystkie otrzymane pytania przy użyciu zasad określonych w oficjalnych standardach protokołu DNS, biblioteka resolwera DNS rozwiązuje pytania dotyczące nazw domen.

Obsługiwane systemy operacyjne

BIND został specjalnie zaprojektowany dla platformy GNU / Linux i powinien dobrze działać z każdą dystrybucją Linuksa, w tym Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, openSUSE, Mageia, i wiele innych. Obsługuje zarówno 32-bitowe, jak i 64-bitowe architektury zestawów instrukcji.

Projekt jest dystrybuowany jako pojedynczy, uniwersalny plik tarball zawierający kod źródłowy BIND, umożliwiający użytkownikom optymalizację oprogramowania dla ich platformy sprzętowej i systemu operacyjnego (patrz wyżej dla obsługiwanych systemów operacyjnych i architektur).

Co nowego w tej wersji:

• Błąd kodowania w funkcji przekierowania nxdomain mógłby spowodować niepowodzenie asercji, gdyby obszar nazw przekierowań był obsługiwany z lokalnego autorytatywnego źródła danych, takiego jak strefa lokalna lub DLZ zamiast przez rekursywne wyszukiwanie. Ta wada ujawniona jest w CVE-2016-9778. [RT # 43837]
• Nazwane może niewłaściwie zarządzać sekcjami autoryzacji, w których brakowało wywołań RRSIG wywołujących niepowodzenie asercji. Wada ta jest ujawniona w CVE-2016-9444. [RT # 43632]
• Nazwany niepoprawnie niektóre odpowiedzi, w których pokrycia rekordów RRSIG są zwracane bez żądanych danych powodujących niepowodzenie asercji. Wada ta jest ujawniona w CVE-2016-9147. [RT # 43548]
• Nazwany nieprawidłowo próbował buforować rekordy TKEY, które mogłyby wywołać niepowodzenie asercji w przypadku niezgodności klasy. Wada ta jest ujawniona w CVE-2016-9131. [RT # 43522]
• Podczas przetwarzania odpowiedzi można było wywołać asercje. Wada ta jest ujawniona w CVE-2016-8864. [RT # 43465]

Co nowego w wersji 9.11.2:

• Błąd kodowania w funkcji przekierowania nxdomain mógłby spowodować niepowodzenie asercji, gdyby obszar nazw przekierowań był obsługiwany z lokalnego autorytatywnego źródła danych, takiego jak strefa lokalna lub DLZ zamiast przez rekursywne wyszukiwanie. Ta wada ujawniona jest w CVE-2016-9778. [RT # 43837]
• Nazwane może niewłaściwie zarządzać sekcjami autoryzacji, w których brakowało wywołań RRSIG wywołujących niepowodzenie asercji. Wada ta jest ujawniona w CVE-2016-9444. [RT # 43632]
• Nazwany niepoprawnie niektóre odpowiedzi, w których pokrycia rekordów RRSIG są zwracane bez żądanych danych powodujących niepowodzenie asercji. Wada ta jest ujawniona w CVE-2016-9147. [RT # 43548]
• Nazwany nieprawidłowo próbował buforować rekordy TKEY, które mogłyby wywołać niepowodzenie asercji w przypadku niezgodności klasy. Wada ta jest ujawniona w CVE-2016-9131. [RT # 43522]
• Podczas przetwarzania odpowiedzi można było wywołać asercje. Wada ta jest ujawniona w CVE-2016-8864. [RT # 43465]

Co nowego w wersji 9.11.1-P3:

• Błąd kodowania w funkcji przekierowania nxdomain mógłby spowodować niepowodzenie asercji, gdyby obszar nazw przekierowań był obsługiwany z lokalnego autorytatywnego źródła danych, takiego jak strefa lokalna lub DLZ zamiast przez rekursywne wyszukiwanie. Ta wada ujawniona jest w CVE-2016-9778. [RT # 43837]
• Nazwane może niewłaściwie zarządzać sekcjami autoryzacji, w których brakowało wywołań RRSIG wywołujących niepowodzenie asercji. Wada ta jest ujawniona w CVE-2016-9444. [RT # 43632]
• Nazwany niepoprawnie niektóre odpowiedzi, w których pokrycia rekordów RRSIG są zwracane bez żądanych danych powodujących niepowodzenie asercji. Wada ta jest ujawniona w CVE-2016-9147. [RT # 43548]
• Nazwany nieprawidłowo próbował buforować rekordy TKEY, które mogłyby wywołać niepowodzenie asercji w przypadku niezgodności klasy. Wada ta jest ujawniona w CVE-2016-9131. [RT # 43522]
• Podczas przetwarzania odpowiedzi można było wywołać asercje. Wada ta jest ujawniona w CVE-2016-8864. [RT # 43465]

Co nowego w wersji 9.11.1-P1:

• Błąd kodowania w funkcji przekierowania nxdomain mógłby spowodować niepowodzenie asercji, gdyby obszar nazw przekierowań był obsługiwany z lokalnego autorytatywnego źródła danych, takiego jak strefa lokalna lub DLZ zamiast przez rekursywne wyszukiwanie. Ta wada ujawniona jest w CVE-2016-9778. [RT # 43837]
• Nazwane może niewłaściwie zarządzać sekcjami autoryzacji, w których brakowało wywołań RRSIG wywołujących niepowodzenie asercji. Wada ta jest ujawniona w CVE-2016-9444. [RT # 43632]
• Nazwany niepoprawnie niektóre odpowiedzi, w których pokrycia rekordów RRSIG są zwracane bez żądanych danych powodujących niepowodzenie asercji. Wada ta jest ujawniona w CVE-2016-9147. [RT # 43548]
• Nazwany nieprawidłowo próbował buforować rekordy TKEY, które mogłyby wywołać niepowodzenie asercji w przypadku niezgodności klasy. Wada ta jest ujawniona w CVE-2016-9131. [RT # 43522]
• Podczas przetwarzania odpowiedzi można było wywołać asercje. Wada ta jest ujawniona w CVE-2016-8864. [RT # 43465]

Co nowego w wersji 9.11.1:

• Błąd kodowania w funkcji przekierowania nxdomain mógłby spowodować niepowodzenie asercji, gdyby obszar nazw przekierowań był obsługiwany z lokalnego autorytatywnego źródła danych, takiego jak strefa lokalna lub DLZ zamiast przez rekursywne wyszukiwanie. Ta wada ujawniona jest w CVE-2016-9778. [RT # 43837]
• Nazwane może niewłaściwie zarządzać sekcjami autoryzacji, w których brakowało wywołań RRSIG wywołujących niepowodzenie asercji. Wada ta jest ujawniona w CVE-2016-9444. [RT # 43632]
• Nazwany niepoprawnie niektóre odpowiedzi, w których pokrycia rekordów RRSIG są zwracane bez żądanych danych powodujących niepowodzenie asercji. Wada ta jest ujawniona w CVE-2016-9147. [RT # 43548]
• Nazwany nieprawidłowo próbował buforować rekordy TKEY, które mogłyby wywołać niepowodzenie asercji w przypadku niezgodności klasy. Wada ta jest ujawniona w CVE-2016-9131. [RT # 43522]
• Podczas przetwarzania odpowiedzi można było wywołać asercje. Wada ta jest ujawniona w CVE-2016-8864. [RT # 43465]

Co nowego w wersji 9.11.0-P2:

• Błąd kodowania w funkcji przekierowania nxdomain mógłby spowodować niepowodzenie asercji, gdyby obszar nazw przekierowań był obsługiwany z lokalnego autorytatywnego źródła danych, takiego jak strefa lokalna lub DLZ zamiast rekursywnego wyszukiwania. Ta wada ujawniona jest w CVE-2016-9778. [RT # 43837]
• Nazwane może niewłaściwie zarządzać sekcjami autoryzacji, w których brakowało wywołań RRSIG wywołujących niepowodzenie asercji. Wada ta jest ujawniona w CVE-2016-9444. [RT # 43632]
• Nazwany niepoprawnie niektóre odpowiedzi, w których pokrycia rekordów RRSIG są zwracane bez żądanych danych powodujących niepowodzenie asercji. Wada ta jest ujawniona w CVE-2016-9147. [RT # 43548]
• Nazwany nieprawidłowo próbował buforować rekordy TKEY, które mogłyby wywołać niepowodzenie asercji w przypadku niezgodności klasy. Wada ta jest ujawniona w CVE-2016-9131. [RT # 43522]
• Podczas przetwarzania odpowiedzi można było wywołać asercje. Wada ta jest ujawniona w CVE-2016-8864. [RT # 43465]

Co nowego w wersji 9.11.0-P1:

• Poprawki bezpieczeństwa:
• Niepoprawne sprawdzenie granicy w OPENPGPKEY rdatatype może spowodować niepowodzenie asercji. Wada ta jest ujawniona w CVE-2015-5986. [RT # 40286]
• Błąd rozliczania buforu może spowodować niepowodzenie asercji podczas analizowania niektórych zniekształconych kluczy DNSSEC. Ta wada została odkryta przez Hanno Bock z projektu Fuzzing i jest ujawniona w CVE-2015-5722. [RT # 40212]
• Specjalnie spreparowane zapytanie może wywołać niepowodzenie asercji w message.c. Ta wada została odkryta przez Jonathana Foote'a i jest ujawniona w CVE-2015-5477. [RT # 40046]
• Na serwerach skonfigurowanych do sprawdzania poprawności DNSSEC może wystąpić awaria asercji dla odpowiedzi ze specjalnie skonfigurowanego serwera. Ta wada została odkryta przez Breno Silveira Soares i jest ujawniona w CVE-2015-4620. [RT # 39795]
• Nowe funkcje:
• Dodano nowe limity w celu ograniczenia zapytań wysyłanych przez rekursywne przeliczniki do autorytatywnych serwerów, w których występują ataki typu "odmowa usługi". Po skonfigurowaniu te opcje mogą zarówno zmniejszyć szkody wyrządzone autorytatywnym serwerom, jak i uniknąć wyczerpania zasobów, które mogą wystąpić w rekurencjach, gdy są one wykorzystywane jako pojazd do takiego ataku. UWAGA: Te opcje nie są domyślnie dostępne; użyj configure --enable-fetchlimit, aby uwzględnić je w kompilacji. + fetches-per-server ogranicza liczbę równoczesnych zapytań, które mogą być wysyłane do dowolnego serwera autorytatywnego. Skonfigurowana wartość jest punktem początkowym; jest automatycznie korygowany w dół, jeśli serwer częściowo lub całkowicie nie odpowiada. Algorytm używany do dostosowania limitu może zostać skonfigurowany za pomocą opcji paroteków przydziału. + pobrania na strefę ogranicza liczbę równoczesnych zapytań, które mogą być wysyłane dla nazw w ramach jednej domeny. (Uwaga: w przeciwieństwie do "pobrań na serwer" ta wartość nie jest samostosująca). Dodano także liczniki statystyk, aby śledzić liczbę zapytań, których dotyczą te kwoty.
• dig + ednsflags można teraz używać do ustawiania flag EDNS, które mają być zdefiniowane w żądaniach DNS.
• dig + [no] można teraz użyć ednsnegotiation włączyć / wyłączyć negocjację wersji EDNS.
• Przełącznik konfigurowania --enable-querytrace jest teraz dostępny, aby umożliwić śledzenie bardzo dokładnych zapytań. Ta opcja może być ustawiona tylko w czasie kompilacji. Ta opcja ma negatywny wpływ na wydajność i powinna być używana tylko do debugowania.
• Zmiany funkcji:
• Duże zmiany w podpisie bezpośrednim powinny być mniej uciążliwe. Generowanie podpisów odbywa się teraz stopniowo; liczba podpisów generowanych w każdym kwandzie jest kontrolowana przez "numer podpisu podpisu sig;". [RT # 37927]
• Eksperymentalne rozszerzenie SIT używa teraz punktu kodowego opcji EDNS COOKIE (10) i jest wyświetlane jako "COOKIE:". Istniejące dyrektywy named.conf; "request-sit", "sit-secret" i "nosit-udp-size", są nadal aktualne i zostaną zastąpione przez "send-cookie", "cookie-secret" i "nocookie-udp-size" w BIND 9.11 . Istniejąca dyrektywa dig + "sit" jest nadal ważna i zostanie zastąpiona przez "+ cookie" w BIND 9.11.
• Podczas ponawiania zapytania przez TCP z powodu obcięcia pierwszej odpowiedzi, dig będzie teraz poprawnie wysyłał wartość COOKIE zwróconą przez serwer w poprzedniej odpowiedzi. [RT # 39047]
• Pobieranie lokalnego zakresu portów z net.ipv4.ip_local_port_range w systemie Linux jest teraz obsługiwane.
• Nazwy Active Directory formularza gc._msdcs. są teraz akceptowane jako poprawne nazwy hostów przy użyciu opcji check-names. jest nadal ograniczone do liter, cyfr i łączników.
• Nazwy zawierające tekst sformatowany są teraz akceptowane jako poprawne nazwy hostów w rekordach PTR w strefach wyszukiwania wstecznego DNS-SD, zgodnie z dokumentem RFC 6763. [RT # 37889]
• Poprawione błędy:
• Ładowania stref asynchronicznych nie były obsługiwane poprawnie, gdy obciążenie strefy było już w toku; może to spowodować awarię w zt.c. [RT # 37573]
• Wyścigi podczas zamykania lub rekonfiguracji mogą spowodować niepowodzenie asercji w mem.c. [RT # 38979]
• Niektóre opcje formatowania odpowiedzi nie działały poprawnie z dig + short. [RT # 39291]
• Zniekształcone rekordy niektórych typów, w tym NSAP i UNSPEC, mogą powodować błędy asercji podczas ładowania plików stref tekstowych. [RT # 40274] [RT # 40285]
• Naprawiono możliwą awarię w pliku ratelimiter.c spowodowaną przez komunikaty NOTIFY, które zostały usunięte z niewłaściwej kolejki ogranicznika szybkości. [RT # 40350]
• Domyślna kolejność rrset losowych została niespójnie zastosowana. [RT # 40456]
• Odpowiedzi BADVERS z uszkodzonych autorytatywnych serwerów nazw nie były obsługiwane poprawnie. [RT # 40427]
• W implementacji RPZ naprawiono kilka błędów: + Strefy polityki, które nie wymagały specjalnie rekursji, można traktować tak, jakby to zrobiły; w konsekwencji ustawienie qname-wait-recurse no; czasami nieskuteczne. To zostało poprawione. W większości konfiguracji zmiany zachowań spowodowane tą poprawką nie będą zauważalne. [RT # 39229] + Serwer mógł ulec awarii, gdyby zmieniono strefy zasad (np. Poprzez przeładowanie rndc lub transfer strefy przychodzącej), podczas gdy przetwarzanie RPZ wciąż trwało dla aktywnego zapytania. [RT # 39415] + Na serwerach z co najmniej jedną strefą strategiczną skonfigurowaną jako slave, jeśli strefa polityki została zaktualizowana podczas zwykłej operacji (zamiast uruchamiania) przy użyciu pełnego przeładowania strefy, na przykład przez AXFR, błąd mógł umożliwić podsumowanie RPZ dane ulegają zsynchronizowaniu, co może prowadzić do niepowodzenia asercji w rpz.c, gdy do strefy zostały wprowadzone kolejne przyrostowe aktualizacje, na przykład przez IXFR. [RT # 39567] + Serwer mógł dopasować krótszy prefiks niż ten, który był dostępny w wyzwalaczach zasad CLIENT-IP, i dlatego można podjąć nieoczekiwane działanie. To zostało poprawione. [RT # 39481] + Serwer mógł ulec awarii, gdyby ponownie załadowano strefę RPZ, podczas gdy inne ponowne ładowanie tej samej strefy było już w toku.

  [RT # 39649] + Nazwy zapytań mogą być dopasowane do niewłaściwej strefy polityki, jeśli obecne były rekordy wieloznaczne. [RT # 40357]

Co nowego w wersji 9.11.0:

• Poprawki bezpieczeństwa:
• Niepoprawne sprawdzenie granicy w OPENPGPKEY rdatatype może spowodować niepowodzenie asercji. Wada ta jest ujawniona w CVE-2015-5986. [RT # 40286]
• Błąd rozliczania buforu może spowodować niepowodzenie asercji podczas analizowania niektórych zniekształconych kluczy DNSSEC. Ta wada została odkryta przez Hanno Bock z projektu Fuzzing i jest ujawniona w CVE-2015-5722. [RT # 40212]
• Specjalnie spreparowane zapytanie może wywołać niepowodzenie asercji w message.c. Ta wada została odkryta przez Jonathana Foote'a i jest ujawniona w CVE-2015-5477. [RT # 40046]
• Na serwerach skonfigurowanych do sprawdzania poprawności DNSSEC może wystąpić awaria asercji dla odpowiedzi ze specjalnie skonfigurowanego serwera. Ta wada została odkryta przez Breno Silveira Soares i jest ujawniona w CVE-2015-4620. [RT # 39795]
• Nowe funkcje:
• Dodano nowe limity w celu ograniczenia zapytań wysyłanych przez rekursywne przeliczniki do autorytatywnych serwerów, w których występują ataki typu "odmowa usługi". Po skonfigurowaniu te opcje mogą zarówno zmniejszyć szkody wyrządzone autorytatywnym serwerom, jak i uniknąć wyczerpania zasobów, które mogą wystąpić w rekurencjach, gdy są one wykorzystywane jako pojazd do takiego ataku. UWAGA: Te opcje nie są domyślnie dostępne; użyj configure --enable-fetchlimit, aby uwzględnić je w kompilacji. + fetches-per-server ogranicza liczbę równoczesnych zapytań, które mogą być wysyłane do dowolnego serwera autorytatywnego. Skonfigurowana wartość jest punktem początkowym; jest automatycznie korygowany w dół, jeśli serwer częściowo lub całkowicie nie odpowiada. Algorytm używany do dostosowania limitu może zostać skonfigurowany za pomocą opcji paroteków przydziału. + pobrania na strefę ogranicza liczbę równoczesnych zapytań, które mogą być wysyłane dla nazw w ramach jednej domeny. (Uwaga: w przeciwieństwie do "pobrań na serwer" ta wartość nie jest samostosująca). Dodano także liczniki statystyk, aby śledzić liczbę zapytań, których dotyczą te kwoty.
• dig + ednsflags można teraz używać do ustawiania flag EDNS, które mają być zdefiniowane w żądaniach DNS.
• dig + [no] można teraz użyć ednsnegotiation włączyć / wyłączyć negocjację wersji EDNS.
• Przełącznik konfigurowania --enable-querytrace jest teraz dostępny, aby umożliwić śledzenie bardzo dokładnych zapytań. Ta opcja może być ustawiona tylko w czasie kompilacji. Ta opcja ma negatywny wpływ na wydajność i powinna być używana tylko do debugowania.
• Zmiany funkcji:
• Duże zmiany w podpisie bezpośrednim powinny być mniej uciążliwe. Generowanie podpisów odbywa się teraz stopniowo; liczba podpisów generowanych w każdym kwandzie jest kontrolowana przez "numer podpisu podpisu sig;". [RT # 37927]
• Eksperymentalne rozszerzenie SIT używa teraz punktu kodowego opcji EDNS COOKIE (10) i jest wyświetlane jako "COOKIE:". Istniejące dyrektywy named.conf; "request-sit", "sit-secret" i "nosit-udp-size", są nadal aktualne i zostaną zastąpione przez "send-cookie", "cookie-secret" i "nocookie-udp-size" w BIND 9.11 . Istniejąca dyrektywa dig + "sit" jest nadal ważna i zostanie zastąpiona przez "+ cookie" w BIND 9.11.
• Podczas ponawiania zapytania przez TCP z powodu obcięcia pierwszej odpowiedzi, dig będzie teraz poprawnie wysyłał wartość COOKIE zwróconą przez serwer w poprzedniej odpowiedzi. [RT # 39047]
• Pobieranie lokalnego zakresu portów z net.ipv4.ip_local_port_range w systemie Linux jest teraz obsługiwane.
• Nazwy Active Directory formularza gc._msdcs. są teraz akceptowane jako poprawne nazwy hostów przy użyciu opcji check-names. jest nadal ograniczone do liter, cyfr i łączników.
• Nazwy zawierające tekst sformatowany są teraz akceptowane jako poprawne nazwy hostów w rekordach PTR w strefach wyszukiwania wstecznego DNS-SD, zgodnie z dokumentem RFC 6763. [RT # 37889]
• Poprawione błędy:
• Ładowania stref asynchronicznych nie były obsługiwane poprawnie, gdy obciążenie strefy było już w toku; może to spowodować awarię w zt.c. [RT # 37573]
• Wyścigi podczas zamykania lub rekonfiguracji mogą spowodować niepowodzenie asercji w mem.c. [RT # 38979]
• Niektóre opcje formatowania odpowiedzi nie działały poprawnie z dig + short. [RT # 39291]
• Zniekształcone rekordy niektórych typów, w tym NSAP i UNSPEC, mogą powodować błędy asercji podczas ładowania plików stref tekstowych. [RT # 40274] [RT # 40285]
• Naprawiono możliwą awarię w pliku ratelimiter.c spowodowaną przez komunikaty NOTIFY, które zostały usunięte z niewłaściwej kolejki ogranicznika szybkości. [RT # 40350]
• Domyślna kolejność rrset losowych została niespójnie zastosowana. [RT # 40456]
• Odpowiedzi BADVERS z uszkodzonych autorytatywnych serwerów nazw nie były obsługiwane poprawnie. [RT # 40427]
• W implementacji RPZ naprawiono kilka błędów: + Strefy polityki, które nie wymagały specjalnie rekursji, można traktować tak, jakby to zrobiły; w konsekwencji ustawienie qname-wait-recurse no; czasami nieskuteczne. To zostało poprawione. W większości konfiguracji zmiany zachowań spowodowane tą poprawką nie będą zauważalne. [RT # 39229] + Serwer mógł ulec awarii, gdyby zmieniono strefy zasad (np. Poprzez przeładowanie rndc lub transfer strefy przychodzącej), podczas gdy przetwarzanie RPZ wciąż trwało dla aktywnego zapytania. [RT # 39415] + Na serwerach z co najmniej jedną strefą strategiczną skonfigurowaną jako slave, jeśli strefa polityki została zaktualizowana podczas zwykłej operacji (zamiast uruchamiania) przy użyciu pełnego przeładowania strefy, na przykład przez AXFR, błąd mógł umożliwić podsumowanie RPZ dane ulegają zsynchronizowaniu, co może prowadzić do niepowodzenia asercji w rpz.c, gdy do strefy zostały wprowadzone kolejne przyrostowe aktualizacje, na przykład przez IXFR. [RT # 39567] + Serwer mógł dopasować krótszy prefiks niż ten, który był dostępny w wyzwalaczach zasad CLIENT-IP, i dlatego można podjąć nieoczekiwane działanie. To zostało poprawione. [RT # 39481] + Serwer mógł ulec awarii, gdyby ponownie załadowano strefę RPZ, podczas gdy inne ponowne ładowanie tej samej strefy było już w toku.

  [RT # 39649] + Nazwy zapytań mogą być dopasowane do niewłaściwej strefy polityki, jeśli obecne były rekordy wieloznaczne. [RT # 40357]

Co nowego w wersji 9.10.4-P3:

• Poprawki bezpieczeństwa:
• Niepoprawne sprawdzenie granicy w OPENPGPKEY rdatatype może spowodować niepowodzenie asercji. Wada ta jest ujawniona w CVE-2015-5986. [RT # 40286]
• Błąd rozliczania buforu może spowodować niepowodzenie asercji podczas analizowania niektórych zniekształconych kluczy DNSSEC. Ta wada została odkryta przez Hanno Bock z projektu Fuzzing i jest ujawniona w CVE-2015-5722. [RT # 40212]
• Specjalnie spreparowane zapytanie może wywołać niepowodzenie asercji w message.c. Ta wada została odkryta przez Jonathana Foote'a i jest ujawniona w CVE-2015-5477. [RT # 40046]
• Na serwerach skonfigurowanych do sprawdzania poprawności DNSSEC może wystąpić awaria asercji dla odpowiedzi ze specjalnie skonfigurowanego serwera. Ta wada została odkryta przez Breno Silveira Soares i jest ujawniona w CVE-2015-4620. [RT # 39795]
• Nowe funkcje:
• Dodano nowe limity w celu ograniczenia zapytań wysyłanych przez rekursywne przeliczniki do autorytatywnych serwerów, w których występują ataki typu "odmowa usługi". Po skonfigurowaniu te opcje mogą zarówno zmniejszyć szkody wyrządzone autorytatywnym serwerom, jak i uniknąć wyczerpania zasobów, które mogą wystąpić w rekurencjach, gdy są one wykorzystywane jako pojazd do takiego ataku. UWAGA: Te opcje nie są domyślnie dostępne; użyj configure --enable-fetchlimit, aby uwzględnić je w kompilacji. + fetches-per-server ogranicza liczbę równoczesnych zapytań, które mogą być wysyłane do dowolnego serwera autorytatywnego. Skonfigurowana wartość jest punktem początkowym; jest automatycznie korygowany w dół, jeśli serwer częściowo lub całkowicie nie odpowiada. Algorytm używany do dostosowania limitu może zostać skonfigurowany za pomocą opcji paroteków przydziału. + pobrania na strefę ogranicza liczbę równoczesnych zapytań, które mogą być wysyłane dla nazw w ramach jednej domeny. (Uwaga: w przeciwieństwie do "pobrań na serwer" ta wartość nie jest samostosująca). Dodano także liczniki statystyk, aby śledzić liczbę zapytań, których dotyczą te kwoty.
• dig + ednsflags można teraz używać do ustawiania flag EDNS, które mają być zdefiniowane w żądaniach DNS.
• dig + [no] można teraz użyć ednsnegotiation włączyć / wyłączyć negocjację wersji EDNS.
• Przełącznik konfigurowania --enable-querytrace jest teraz dostępny, aby umożliwić śledzenie bardzo dokładnych zapytań. Ta opcja może być ustawiona tylko w czasie kompilacji. Ta opcja ma negatywny wpływ na wydajność i powinna być używana tylko do debugowania.
• Zmiany funkcji:
• Duże zmiany w podpisie bezpośrednim powinny być mniej uciążliwe. Generowanie podpisów odbywa się teraz stopniowo; liczba podpisów generowanych w każdym kwandzie jest kontrolowana przez "numer podpisu podpisu sig;". [RT # 37927]
• Eksperymentalne rozszerzenie SIT używa teraz punktu kodowego opcji EDNS COOKIE (10) i jest wyświetlane jako "COOKIE:". Istniejące dyrektywy named.conf; "request-sit", "sit-secret" i "nosit-udp-size", są nadal aktualne i zostaną zastąpione przez "send-cookie", "cookie-secret" i "nocookie-udp-size" w BIND 9.11 . Istniejąca dyrektywa dig + "sit" jest nadal ważna i zostanie zastąpiona przez "+ cookie" w BIND 9.11.
• Podczas ponawiania zapytania przez TCP z powodu obcięcia pierwszej odpowiedzi, dig będzie teraz poprawnie wysyłał wartość COOKIE zwróconą przez serwer w poprzedniej odpowiedzi. [RT # 39047]
• Pobieranie lokalnego zakresu portów z net.ipv4.ip_local_port_range w systemie Linux jest teraz obsługiwane.
• Nazwy Active Directory formularza gc._msdcs. są teraz akceptowane jako poprawne nazwy hostów przy użyciu opcji check-names. jest nadal ograniczone do liter, cyfr i łączników.
• Nazwy zawierające tekst sformatowany są teraz akceptowane jako poprawne nazwy hostów w rekordach PTR w strefach wyszukiwania wstecznego DNS-SD, zgodnie z dokumentem RFC 6763. [RT # 37889]
• Poprawione błędy:
• Ładowania stref asynchronicznych nie były obsługiwane poprawnie, gdy obciążenie strefy było już w toku; może to spowodować awarię w zt.c. [RT # 37573]
• Wyścigi podczas zamykania lub rekonfiguracji mogą spowodować niepowodzenie asercji w mem.c. [RT # 38979]
• Niektóre opcje formatowania odpowiedzi nie działały poprawnie z dig + short. [RT # 39291]
• Zniekształcone rekordy niektórych typów, w tym NSAP i UNSPEC, mogą powodować błędy asercji podczas ładowania plików stref tekstowych. [RT # 40274] [RT # 40285]
• Naprawiono możliwą awarię w pliku ratelimiter.c spowodowaną przez komunikaty NOTIFY, które zostały usunięte z niewłaściwej kolejki ogranicznika szybkości. [RT # 40350]
• Domyślna kolejność rrset losowych została niespójnie zastosowana. [RT # 40456]
• Odpowiedzi BADVERS z uszkodzonych autorytatywnych serwerów nazw nie były obsługiwane poprawnie. [RT # 40427]
• W implementacji RPZ naprawiono kilka błędów: + Strefy polityki, które nie wymagały specjalnie rekursji, można traktować tak, jakby to zrobiły; w konsekwencji ustawienie qname-wait-recurse no; czasami nieskuteczne. To zostało poprawione. W większości konfiguracji zmiany zachowań spowodowane tą poprawką nie będą zauważalne. [RT # 39229] + Serwer mógł ulec awarii, gdyby zmieniono strefy zasad (np. Poprzez przeładowanie rndc lub transfer strefy przychodzącej), podczas gdy przetwarzanie RPZ wciąż trwało dla aktywnego zapytania. [RT # 39415] + Na serwerach z co najmniej jedną strefą strategiczną skonfigurowaną jako slave, jeśli strefa polityki została zaktualizowana podczas zwykłej operacji (zamiast uruchamiania) przy użyciu pełnego przeładowania strefy, na przykład przez AXFR, błąd mógł umożliwić podsumowanie RPZ dane ulegają zsynchronizowaniu, co może prowadzić do niepowodzenia asercji w rpz.c, gdy do strefy zostały wprowadzone kolejne przyrostowe aktualizacje, na przykład przez IXFR. [RT # 39567] + Serwer mógł dopasować krótszy prefiks niż ten, który był dostępny w wyzwalaczach zasad CLIENT-IP, i dlatego można podjąć nieoczekiwane działanie. To zostało poprawione. [RT # 39481] + Serwer mógł ulec awarii, gdyby ponownie załadowano strefę RPZ, podczas gdy inne ponowne ładowanie tej samej strefy było już w toku.[RT # 39649] + Nazwy zapytań mogą być dopasowane do niewłaściwej strefy polityki, jeśli obecne były rekordy wieloznaczne. [RT # 40357]