BIND

BIND (Berkeley interneto vardo domenas) yra UNIX programinė įranga, kuri platina domenų vardų sistemos (DNS) protokolų atviro kodo įdiegimą. Jį sudaro "resolver" biblioteka, serveris / "demonas", pavadintas "named", taip pat programinės įrangos priemonės, leidžiančios patikrinti ir patikrinti tinkamą DNS serverių veikimą.

"BIND" iš pradžių buvo parašyta Kalifornijos universitete Berkeley. "BIND" pasirašė daugybė organizacijų, įskaitant "Sun Microsystems", "HP", "Compaq", "IBM", "Silicon Graphics", "Network Associates", JAV gynybos informacinių sistemų agentūrą, USENIX asociaciją, "Process Software Corporation", "Nominum" ir Stichting NLNet & ndash; NLNet fondas.

Kaip minėta, BIND sudaro domeno vardų sistemos serveris, domenų vardų sistemos resolverio biblioteka ir serverių testavimo programinės įrangos įrankiai. Nors DNS serverio įdiegimas yra atsakingas už atsakymą į visus gautus klausimus, naudojant taisykles, nurodytas oficialiuose DNS protokolo standartuose, DNS resolver biblioteka išsprendžia klausimus apie domenų vardus.

Palaikomos operacinės sistemos

"BIND" buvo specialiai sukurtas GNU / Linux platformai ir turėtų gerai veikti bet kokį Linux platinimą, įskaitant "Debian", "Ubuntu", "Arch Linux", "Fedora", "CentOS", "Red Hat Enterprise Linux", "Slackware", "Gentoo", "openSUSE", "Mageia" ir daugelis kitų. Jis palaiko 32 bitų ir 64 bitų komandų rinkinių architektūras.

Projektas yra platinamas kaip vienas universalus archyvas, kuriame yra BIND šaltinio kodas, leidžiantis vartotojams optimizuoti savo aparatinės įrangos platformos ir operacinės sistemos programinę įrangą (žr. aukščiau palaikomų operacinių sistemų ir architektūrų).

Kas naujo šiame leidime:

• Nxodomenų peradresavimo funkcijos kodavimo klaida gali sukelti tvirtinimo nepakankamumą, jei nukreipimo vardų sritis buvo įvesta iš vietinio autoritetingo duomenų šaltinio, pvz., vietinės zonos arba DLZ, o ne per rekursinę paiešką. Šis trūkumas yra atskleistas CVE-2016-9778. [RT # 43837]
• Pavadinta gali blogai elgtis su įgaliojimų sekcijomis, kuriose trūko RRSIG, dėl kurių įvyko teiginio nesėkmė. Šis trūkumas atskleidžiamas CVE-2016-9444. [RT # 43632]
• Pavadinta netinkama dalis atsakymų, kai RRSIG įrašai yra grąžinami be reikalaujamų duomenų, dėl kurių tvirtinimas nepavyko. Šis trūkumas yra atskleistas CVE-2016-9147. [RT # 43548]
• Pavadinta neteisingai bandė talpinti TKEY įrašus, kurie gali sukelti nesėkmių patvirtinimą, kai buvo klasių neatitikimas. Šis trūkumas yra atskleistas CVE-2016-9131. [RT # 43522]
• Apdorojant atsakymą, buvo įmanoma pateikti teiginius. Šis trūkumas yra atskleistas CVE-2016-8864. [RT # 43465]

Kas naujo versijoje 9.11.2:

• Nxodomenų peradresavimo funkcijos kodavimo klaida gali sukelti tvirtinimo nepakankamumą, jei nukreipimo vardų sritis buvo įvesta iš vietinio autoritetingo duomenų šaltinio, pvz., vietinės zonos arba DLZ, o ne per rekursinę paiešką. Šis trūkumas yra atskleistas CVE-2016-9778. [RT # 43837]
• Pavadinta gali blogai elgtis su įgaliojimų sekcijomis, kuriose trūko RRSIG, dėl kurių įvyko teiginio nesėkmė. Šis trūkumas atskleidžiamas CVE-2016-9444. [RT # 43632]
• Pavadinta netinkama dalis atsakymų, kai RRSIG įrašai yra grąžinami be reikalaujamų duomenų, dėl kurių tvirtinimas nepavyko. Šis trūkumas yra atskleistas CVE-2016-9147. [RT # 43548]
• Pavadinta neteisingai bandė talpinti TKEY įrašus, kurie gali sukelti nesėkmių patvirtinimą, kai buvo klasių neatitikimas. Šis trūkumas yra atskleistas CVE-2016-9131. [RT # 43522]
• Apdorojant atsakymą, buvo įmanoma pateikti teiginius. Šis trūkumas yra atskleistas CVE-2016-8864. [RT # 43465]

Kas naujo versijoje 9.11.1-P3:

• Nxodomenų peradresavimo funkcijos kodavimo klaida gali sukelti tvirtinimo nepakankamumą, jei nukreipimo vardų sritis buvo įvesta iš vietinio autoritetingo duomenų šaltinio, pvz., vietinės zonos arba DLZ, o ne per rekursinę paiešką. Šis trūkumas yra atskleistas CVE-2016-9778. [RT # 43837]
• Pavadinta gali blogai elgtis su įgaliojimų sekcijomis, kuriose trūko RRSIG, dėl kurių įvyko teiginio nesėkmė. Šis trūkumas atskleidžiamas CVE-2016-9444. [RT # 43632]
• Pavadinta netinkama dalis atsakymų, kai RRSIG įrašai yra grąžinami be reikalaujamų duomenų, dėl kurių tvirtinimas nepavyko. Šis trūkumas yra atskleistas CVE-2016-9147. [RT # 43548]
• Pavadinta neteisingai bandė talpinti TKEY įrašus, kurie gali sukelti nesėkmių patvirtinimą, kai buvo klasių neatitikimas. Šis trūkumas yra atskleistas CVE-2016-9131. [RT # 43522]
• Apdorojant atsakymą, buvo įmanoma pateikti teiginius. Šis trūkumas yra atskleistas CVE-2016-8864. [RT # 43465]

Kas naujo versijoje 9.11.1-P1:

• Nxodomenų peradresavimo funkcijos kodavimo klaida gali sukelti tvirtinimo nepakankamumą, jei nukreipimo vardų sritis buvo įvesta iš vietinio autoritetingo duomenų šaltinio, pvz., vietinės zonos arba DLZ, o ne per rekursinę paiešką. Šis trūkumas yra atskleistas CVE-2016-9778. [RT # 43837]
• Pavadinta gali blogai elgtis su įgaliojimų sekcijomis, kuriose trūko RRSIG, dėl kurių įvyko teiginio nesėkmė. Šis trūkumas atskleidžiamas CVE-2016-9444. [RT # 43632]
• Pavadinta netinkama dalis atsakymų, kai RRSIG įrašai yra grąžinami be reikalaujamų duomenų, dėl kurių tvirtinimas nepavyko. Šis trūkumas yra atskleistas CVE-2016-9147. [RT # 43548]
• Pavadinta neteisingai bandė talpinti TKEY įrašus, kurie gali sukelti nesėkmių patvirtinimą, kai buvo klasių neatitikimas. Šis trūkumas yra atskleistas CVE-2016-9131. [RT # 43522]
• Apdorojant atsakymą, buvo įmanoma pateikti teiginius. Šis trūkumas yra atskleistas CVE-2016-8864. [RT # 43465]

Kas naujo versijoje 9.11.1:

• Nxodomenų peradresavimo funkcijos kodavimo klaida gali sukelti tvirtinimo nepakankamumą, jei nukreipimo vardų sritis buvo įvesta iš vietinio autoritetingo duomenų šaltinio, pvz., vietinės zonos arba DLZ, o ne per rekursinę paiešką. Šis trūkumas yra atskleistas CVE-2016-9778. [RT # 43837]
• Pavadinta gali blogai elgtis su įgaliojimų sekcijomis, kuriose trūko RRSIG, dėl kurių įvyko teiginio nesėkmė. Šis trūkumas atskleidžiamas CVE-2016-9444. [RT # 43632]
• Pavadinta netinkama dalis atsakymų, kai RRSIG įrašai yra grąžinami be reikalaujamų duomenų, dėl kurių tvirtinimas nepavyko. Šis trūkumas yra atskleistas CVE-2016-9147. [RT # 43548]
• Pavadinta neteisingai bandė talpinti TKEY įrašus, kurie gali sukelti nesėkmių patvirtinimą, kai buvo klasių neatitikimas. Šis trūkumas yra atskleistas CVE-2016-9131. [RT # 43522]
• Apdorojant atsakymą, buvo įmanoma pateikti teiginius. Šis trūkumas yra atskleistas CVE-2016-8864. [RT # 43465]

Kas naujo versijoje 9.11.0-P2:

• Koduotės klaida nxdomain peradresavimo funkcijoje gali sukelti tvirtinimo nepakankamumą, jei nukreipimo vardų sritis buvo įvestas iš vietos autoritetingo duomenų šaltinio, pvz., vietinės zonos arba DLZ, o ne per rekursinę paiešką. Šis trūkumas yra atskleistas CVE-2016-9778. [RT # 43837]
• Pavadinta gali blogai elgtis su įgaliojimų sekcijomis, kuriose trūko RRSIG, dėl kurių įvyko teiginio nesėkmė. Šis trūkumas atskleidžiamas CVE-2016-9444. [RT # 43632]
• Pavadinta netinkama dalis atsakymų, kai RRSIG įrašai yra grąžinami be reikalaujamų duomenų, dėl kurių tvirtinimas nepavyko. Šis trūkumas yra atskleistas CVE-2016-9147. [RT # 43548]
• Pavadinta neteisingai bandė talpinti TKEY įrašus, kurie gali sukelti nesėkmių patvirtinimą, kai buvo klasių neatitikimas. Šis trūkumas yra atskleistas CVE-2016-9131. [RT # 43522]
• Apdorojant atsakymą, buvo įmanoma pateikti teiginius. Šis trūkumas yra atskleistas CVE-2016-8864. [RT # 43465]

Kas naujo versijoje 9.11.0-P1:

• Apsaugos pataisymai:
• Neteisingas ribinis patikrinimas OPENPGPKEY rdatatype gali sukelti tvirtinimo gedimą. Šis trūkumas yra nurodytas CVE-2015-5986. [RT # 40286]
• Buferinės apskaitos klaida gali sukelti patvirtinimo gedimą, kai analizuojami tam tikri netinkamai suformuoti DNSSEC raktiniai žodžiai. Šį trūkumą atrado Hunono Bockas iš "Fuzzing" projekto ir jis atskleidžiamas CVE-2015-5722. [RT # 40212]
• Specialiai paruošta užklausa gali sukelti pranešimo failo patvirtinimą. c. Šis trūkumas buvo aptiktas Jonathan Foote ir yra atskleistas CVE-2015-5477. [RT # 40046]
• Serveriuose, sukonfigūruotuose atlikti DNSSEC patvirtinimą, specialaus serverio atsakymai gali būti įjungiami dėl patvirtinimo gedimo. Šis trūkumas buvo aptiktas Breno Silveira Soares, ir jis aprašytas CVE-2015-4620. [RT # 39795]
• Naujos funkcijos:
• Naujos kvotos buvo pridėtos, siekiant apriboti užklausas, kurios siunčiamos naudojant rekursinius leistuvus į autoritetingus serverius, kuriuose yra užblokavimo išpuolių. Pasirinkus šias parinktis, jie gali sumažinti žalą, padarytą autoritetingiems serveriams, taip pat išvengti išteklių išsekimo, kurį gali patirti rekursyvai, kai jie naudojami kaip tokio išpuolio priemonė. PASTABA: šias parinktis negalima naudoti pagal numatytuosius nustatymus; naudokite configure --enable-fetchlimit, kad įtrauktumėte juos į "build". + "fetches-per-serveris" riboja sinchronizuotų užklausų skaičių, kuris gali būti siunčiamas bet kuriam autoritetingam serveriui. Sukonfigūruota vertė yra pradinis taškas; jis automatiškai koreguojamas žemyn, jei serveris yra iš dalies arba visiškai nereaguoja. Kvotos koregavimui naudojamas algoritmas gali būti konfigūruojamas naudojant parinktį "fetch-quota-params". + "fetches-per-zone" riboja sinchronizuotų užklausų, kurias galima siųsti vardams viename domene, skaičius. (Pastaba: skirtingai nei "fetches-per-server", ši reikšmė nėra savaiminis nustatymas.) Taip pat buvo įtraukti statistikos skaitikliai, siekiant stebėti užklausų, susijusių su šiomis kvotomis, skaičių.
• dig + ednsflags dabar gali būti naudojamas siekiant nustatyti dar apibrėžtas EDNS vėliavas DNS užklausose.
Dabar galima naudoti
• dig + [no] ednsnegotiation įgalinti / išjungti EDNS versijos derybas.
• Šiuo metu yra galimas užklausos trajektorijos konfigūravimo jungiklis, leidžiantis atlikti labai verbalinį užklausą. Ši parinktis gali būti nustatyta tik kompiliavimo metu. Ši parinktis turi neigiamą našumą ir turėtų būti naudojama tik derinimui.
• Funkcijos pakeitimai:
• Dideli eilutės pasirašymo pakeitimai turėtų būti mažiau trukdantys. Parašų generavimas dabar atliekamas laipsniškai; į kiekvieną kvantą sukurtų parašų skaičius kontroliuojamas "sig-signing-signature-number"; [RT # 37927]
• Eksperimentinis SIT plėtinys dabar naudoja EDNS COOKIE varianto kodo tašką (10) ir rodomas kaip "COOKIE:". Egzistuojančios named.conf direktyvos; "request-sit", "sit-secret" ir "nosit-udp-size" vis dar galioja ir bus pakeistos "send-cookie", "cookie-secret" ir "nocookie-udp-size" BIND 9.11 . Dabartinė kasimo direktyva "+ sėdi" vis dar galioja ir bus pakeista "+ slapuku" BIND 9.11.
• Pakartotinai bandydami užklausą per TCP dėl to, kad pirmasis atsakymas yra sutrumpintas, dabar "dig" dabar teisingai nusiųs serverio grąžintą COOKIE reikšmę išankstiniu atsakymu. [RT # 39047]
• Dabar "Linux" palaikomas vietinio prievado nuotolis iš net.ipv4.ip_local_port_range.
• "Active Directory" formos pavadinimai gc._msdcs. dabar yra pripažįstami galiojančiais prieglobos vardais, kai naudojamas tikrinimo vardų parinktis. vis dar leidžiama tik raidėmis, skaitmenimis ir brūkšneliais.
• Vardai, turintys turtingą tekstą, dabar pripažįstami galiojančiais kompiuterio pavadinimais PTR įrašuose DNS-SD atvirkštinės paieškos zonose, kaip nurodyta RFC 6763. [RT # 37889]
• Klaidų pataisymai:
• Asinchroninės zonos apkrovos nebuvo tvarkomos tinkamai, kai zonos apkrova jau buvo vykdoma; tai gali sukelti avariją zt.c. [RT # 37573]
• Pertraukos ar perkonfigūravimo metu vykstančios lenktynės gali sukelti klaidos patvirtinimą mem.c. [RT # 38979]
• Kai kurie atsakymo formatavimo parinktys neveikė tinkamai, jei naudojate "dig + short". [RT # 39291]
• Kai kurių tipų netinkami įrašai, įskaitant NSAP ir UNSPEC, gali sukelti klaidų, kai įkeliamos teksto zonos failai. [RT # 40274] [RT # 40285]
• Ištaisytas galimas "ratelimiter.c" sugadinimas, kurį sukelia "NOTIFY" pranešimai pašalinami iš netinkamos greičio ribotuvo eilės. [RT # 40350]
• Numatytasis rrset-atsitiktinių eilučių tvarka buvo netinkamai taikoma. [RT # 40456]
• "PALAIKOMŲ" atsakymai iš sugedusių autoritetingų vardų serverių buvo neteisingai tvarkomi. [RT # 40427]
• Į RPZ įgyvendinimą buvo nustatyti keli klaidos: + Politikos zonos, kuriose nebuvo specialiai reikalaujama rekursijos, gali būti traktuojamos taip, lyg jos būtų; Todėl nustatydami qname-wait-recurse no; kartais buvo neveiksmingas. Tai buvo ištaisyta. Daugelyje konfigūracijų elgesio pokyčiai dėl šio nustatymo nebus pastebimi. [RT # 39229] + Serveris gali trikdyti, jei atnaujintos politikos zonos (pvz., Naudojant rndc perkraunamą arba įeinančią zonos perdavimą), kol aktyvus užklausimas vykdomas RPZ apdorojimas. [RT # 39415] + Serveriuose, kuriuose yra viena ar daugiau politikos zonų, sukonfigūruotų kaip vergai, jei politikos zona atnaujinama per įprastą operaciją (o ne paleidžiant) naudojant visą zonos perkrovimą, pvz., Per AXFR, klaida gali leisti RPZ santrauką duomenys išeina iš sinchronizacijos, dėl to gali kilti rpz.c patvirtinimo gedimas, kai zonoje atliekami papildomi papildiniai, pvz., per IXFR. [RT # 39567] + Serveris gali sutalpinti trumpesnį prefiksą nei tas, kuris buvo pasiektas CLIENT-IP politikos paleidžiamuosiuose veiksmuose, todėl gali būti atlikti netikėti veiksmai. Tai buvo ištaisyta. [RT # 39481] + Serveris gali sugesti, jei buvo inicijuotas RPZ zonos perkrovimas, o kita tos pačios zonos perkrauta jau buvo vykdoma.

  [RT # 39649] + užklausų pavadinimai gali atitikti netinkamą politikos zoną, jei buvo pateikti pakaitos įrašai. [RT # 40357]

Kas naujo versijoje 9.11.0:

• Apsaugos pataisymai:
• Neteisingas ribinis patikrinimas OPENPGPKEY rdatatype gali sukelti tvirtinimo gedimą. Šis trūkumas yra nurodytas CVE-2015-5986. [RT # 40286]
• Buferinės apskaitos klaida gali sukelti patvirtinimo gedimą, kai analizuojami tam tikri netinkamai suformuoti DNSSEC raktiniai žodžiai. Šį trūkumą atrado Hunono Bockas iš "Fuzzing" projekto ir jis atskleidžiamas CVE-2015-5722. [RT # 40212]
• Specialiai paruošta užklausa gali sukelti pranešimo failo patvirtinimą. c. Šis trūkumas buvo aptiktas Jonathan Foote ir yra atskleistas CVE-2015-5477. [RT # 40046]
• Serveriuose, sukonfigūruotuose atlikti DNSSEC patvirtinimą, specialaus serverio atsakymai gali būti įjungiami dėl patvirtinimo gedimo. Šis trūkumas buvo aptiktas Breno Silveira Soares, ir jis aprašytas CVE-2015-4620. [RT # 39795]
• Naujos funkcijos:
• Naujos kvotos buvo pridėtos, siekiant apriboti užklausas, kurios siunčiamos naudojant rekursinius leistuvus į autoritetingus serverius, kuriuose yra užblokavimo išpuolių. Pasirinkus šias parinktis, jie gali sumažinti žalą, padarytą autoritetingiems serveriams, taip pat išvengti išteklių išsekimo, kurį gali patirti rekursyvai, kai jie naudojami kaip tokio išpuolio priemonė. PASTABA: šias parinktis negalima naudoti pagal numatytuosius nustatymus; naudokite configure --enable-fetchlimit, kad įtrauktumėte juos į "build". + "fetches-per-serveris" riboja sinchronizuotų užklausų skaičių, kuris gali būti siunčiamas bet kuriam autoritetingam serveriui. Sukonfigūruota vertė yra pradinis taškas; jis automatiškai koreguojamas žemyn, jei serveris yra iš dalies arba visiškai nereaguoja. Kvotos koregavimui naudojamas algoritmas gali būti konfigūruojamas naudojant parinktį "fetch-quota-params". + "fetches-per-zone" riboja sinchronizuotų užklausų, kurias galima siųsti vardams viename domene, skaičius. (Pastaba: skirtingai nei "fetches-per-server", ši reikšmė nėra savaiminis nustatymas.) Taip pat buvo įtraukti statistikos skaitikliai, siekiant stebėti užklausų, susijusių su šiomis kvotomis, skaičių.
• dig + ednsflags dabar gali būti naudojamas siekiant nustatyti dar apibrėžtas EDNS vėliavas DNS užklausose.
Dabar galima naudoti
• dig + [no] ednsnegotiation įgalinti / išjungti EDNS versijos derybas.
• Šiuo metu yra galimas užklausos trajektorijos konfigūravimo jungiklis, leidžiantis atlikti labai verbalinį užklausą. Ši parinktis gali būti nustatyta tik kompiliavimo metu. Ši parinktis turi neigiamą našumą ir turėtų būti naudojama tik derinimui.
• Funkcijos pakeitimai:
• Dideli eilutės pasirašymo pakeitimai turėtų būti mažiau trukdantys. Parašų generavimas dabar atliekamas laipsniškai; į kiekvieną kvantą sukurtų parašų skaičius kontroliuojamas "sig-signing-signature-number"; [RT # 37927]
• Eksperimentinis SIT plėtinys dabar naudoja EDNS COOKIE varianto kodo tašką (10) ir rodomas kaip "COOKIE:". Egzistuojančios named.conf direktyvos; "request-sit", "sit-secret" ir "nosit-udp-size" vis dar galioja ir bus pakeistos "send-cookie", "cookie-secret" ir "nocookie-udp-size" BIND 9.11 . Dabartinė kasimo direktyva "+ sėdi" vis dar galioja ir bus pakeista "+ slapuku" BIND 9.11.
• Pakartotinai bandydami užklausą per TCP dėl to, kad pirmasis atsakymas yra sutrumpintas, dabar "dig" dabar teisingai nusiųs serverio grąžintą COOKIE reikšmę išankstiniu atsakymu. [RT # 39047]
• Dabar "Linux" palaikomas vietinio prievado nuotolis iš net.ipv4.ip_local_port_range.
• "Active Directory" formos pavadinimai gc._msdcs. dabar yra pripažįstami galiojančiais prieglobos vardais, kai naudojamas tikrinimo vardų parinktis. vis dar leidžiama tik raidėmis, skaitmenimis ir brūkšneliais.
• Vardai, turintys turtingą tekstą, dabar pripažįstami galiojančiais kompiuterio pavadinimais PTR įrašuose DNS-SD atvirkštinės paieškos zonose, kaip nurodyta RFC 6763. [RT # 37889]
• Klaidų pataisymai:
• Asinchroninės zonos apkrovos nebuvo tvarkomos tinkamai, kai zonos apkrova jau buvo vykdoma; tai gali sukelti avariją zt.c. [RT # 37573]
• Pertraukos ar perkonfigūravimo metu vykstančios lenktynės gali sukelti klaidos patvirtinimą mem.c. [RT # 38979]
• Kai kurie atsakymo formatavimo parinktys neveikė tinkamai, jei naudojate "dig + short". [RT # 39291]
• Kai kurių tipų netinkami įrašai, įskaitant NSAP ir UNSPEC, gali sukelti klaidų, kai įkeliamos teksto zonos failai. [RT # 40274] [RT # 40285]
• Ištaisytas galimas "ratelimiter.c" sugadinimas, kurį sukelia "NOTIFY" pranešimai pašalinami iš netinkamos greičio ribotuvo eilės. [RT # 40350]
• Numatytasis rrset-atsitiktinių eilučių tvarka buvo netinkamai taikoma. [RT # 40456]
• "PALAIKOMŲ" atsakymai iš sugedusių autoritetingų vardų serverių buvo neteisingai tvarkomi. [RT # 40427]
• Į RPZ įgyvendinimą buvo nustatyti keli klaidos: + Politikos zonos, kuriose nebuvo specialiai reikalaujama rekursijos, gali būti traktuojamos taip, lyg jos būtų; Todėl nustatydami qname-wait-recurse no; kartais buvo neveiksmingas. Tai buvo ištaisyta. Daugelyje konfigūracijų elgesio pokyčiai dėl šio nustatymo nebus pastebimi. [RT # 39229] + Serveris gali trikdyti, jei atnaujintos politikos zonos (pvz., Naudojant rndc perkraunamą arba įeinančią zonos perdavimą), kol aktyvus užklausimas vykdomas RPZ apdorojimas. [RT # 39415] + Serveriuose, kuriuose yra viena ar daugiau politikos zonų, sukonfigūruotų kaip vergai, jei politikos zona atnaujinama per įprastą operaciją (o ne paleidžiant) naudojant visą zonos perkrovimą, pvz., Per AXFR, klaida gali leisti RPZ santrauką duomenys išeina iš sinchronizacijos, dėl to gali kilti rpz.c patvirtinimo gedimas, kai zonoje atliekami papildomi papildiniai, pvz., per IXFR. [RT # 39567] + Serveris gali sutalpinti trumpesnį prefiksą nei tas, kuris buvo pasiektas CLIENT-IP politikos paleidžiamuosiuose veiksmuose, todėl gali būti atlikti netikėti veiksmai. Tai buvo ištaisyta. [RT # 39481] + Serveris gali sugesti, jei buvo inicijuotas RPZ zonos perkrovimas, o kita tos pačios zonos perkrauta jau buvo vykdoma.

  [RT # 39649] + užklausų pavadinimai gali atitikti netinkamą politikos zoną, jei buvo pateikti pakaitos įrašai. [RT # 40357]

Kas naujo versijoje 9.10.4-P3:

• Apsaugos pataisymai:
• Neteisingas ribinis patikrinimas OPENPGPKEY rdatatype gali sukelti tvirtinimo gedimą. Šis trūkumas yra nurodytas CVE-2015-5986. [RT # 40286]
• Buferinės apskaitos klaida gali sukelti patvirtinimo gedimą, kai analizuojami tam tikri netinkamai suformuoti DNSSEC raktiniai žodžiai. Šį trūkumą atrado Hunono Bockas iš "Fuzzing" projekto ir jis atskleidžiamas CVE-2015-5722. [RT # 40212]
• Specialiai paruošta užklausa gali sukelti pranešimo failo patvirtinimą. c. Šis trūkumas buvo aptiktas Jonathan Foote ir yra atskleistas CVE-2015-5477. [RT # 40046]
• Serveriuose, sukonfigūruotuose atlikti DNSSEC patvirtinimą, specialaus serverio atsakymai gali būti įjungiami dėl patvirtinimo gedimo. Šis trūkumas buvo aptiktas Breno Silveira Soares, ir jis aprašytas CVE-2015-4620. [RT # 39795]
• Naujos funkcijos:
• Naujos kvotos buvo pridėtos, siekiant apriboti užklausas, kurios siunčiamos naudojant rekursinius leistuvus į autoritetingus serverius, kuriuose yra užblokavimo išpuolių. Pasirinkus šias parinktis, jie gali sumažinti žalą, padarytą autoritetingiems serveriams, taip pat išvengti išteklių išsekimo, kurį gali patirti rekursyvai, kai jie naudojami kaip tokio išpuolio priemonė. PASTABA: šias parinktis negalima naudoti pagal numatytuosius nustatymus; naudokite configure --enable-fetchlimit, kad įtrauktumėte juos į "build". + "fetches-per-serveris" riboja sinchronizuotų užklausų skaičių, kuris gali būti siunčiamas bet kuriam autoritetingam serveriui. Sukonfigūruota vertė yra pradinis taškas; jis automatiškai koreguojamas žemyn, jei serveris yra iš dalies arba visiškai nereaguoja. Kvotos koregavimui naudojamas algoritmas gali būti konfigūruojamas naudojant parinktį "fetch-quota-params". + "fetches-per-zone" riboja sinchronizuotų užklausų, kurias galima siųsti vardams viename domene, skaičius. (Pastaba: skirtingai nei "fetches-per-server", ši reikšmė nėra savaiminis nustatymas.) Taip pat buvo įtraukti statistikos skaitikliai, siekiant stebėti užklausų, susijusių su šiomis kvotomis, skaičių.
• dig + ednsflags dabar gali būti naudojamas siekiant nustatyti dar apibrėžtas EDNS vėliavas DNS užklausose.
Dabar galima naudoti
• dig + [no] ednsnegotiation įgalinti / išjungti EDNS versijos derybas.
• Šiuo metu yra galimas užklausos trajektorijos konfigūravimo jungiklis, leidžiantis atlikti labai verbalinį užklausą. Ši parinktis gali būti nustatyta tik kompiliavimo metu. Ši parinktis turi neigiamą našumą ir turėtų būti naudojama tik derinimui.
• Funkcijos pakeitimai:
• Dideli eilutės pasirašymo pakeitimai turėtų būti mažiau trukdantys. Parašų generavimas dabar atliekamas laipsniškai; į kiekvieną kvantą sukurtų parašų skaičius kontroliuojamas "sig-signing-signature-number"; [RT # 37927]
• Eksperimentinis SIT plėtinys dabar naudoja EDNS COOKIE varianto kodo tašką (10) ir rodomas kaip "COOKIE:". Egzistuojančios named.conf direktyvos; "request-sit", "sit-secret" ir "nosit-udp-size" vis dar galioja ir bus pakeistos "send-cookie", "cookie-secret" ir "nocookie-udp-size" BIND 9.11 . Dabartinė kasimo direktyva "+ sėdi" vis dar galioja ir bus pakeista "+ slapuku" BIND 9.11.
• Pakartotinai bandydami užklausą per TCP dėl to, kad pirmasis atsakymas yra sutrumpintas, dabar "dig" dabar teisingai nusiųs serverio grąžintą COOKIE reikšmę išankstiniu atsakymu. [RT # 39047]
• Dabar "Linux" palaikomas vietinio prievado nuotolis iš net.ipv4.ip_local_port_range.
• "Active Directory" formos pavadinimai gc._msdcs. dabar yra pripažįstami galiojančiais prieglobos vardais, kai naudojamas tikrinimo vardų parinktis. vis dar leidžiama tik raidėmis, skaitmenimis ir brūkšneliais.
• Vardai, turintys turtingą tekstą, dabar pripažįstami galiojančiais kompiuterio pavadinimais PTR įrašuose DNS-SD atvirkštinės paieškos zonose, kaip nurodyta RFC 6763. [RT # 37889]
• Klaidų pataisymai:
• Asinchroninės zonos apkrovos nebuvo tvarkomos tinkamai, kai zonos apkrova jau buvo vykdoma; tai gali sukelti avariją zt.c. [RT # 37573]
• Pertraukos ar perkonfigūravimo metu vykstančios lenktynės gali sukelti klaidos patvirtinimą mem.c. [RT # 38979]
• Kai kurie atsakymo formatavimo parinktys neveikė tinkamai, jei naudojate "dig + short". [RT # 39291]
• Kai kurių tipų netinkami įrašai, įskaitant NSAP ir UNSPEC, gali sukelti klaidų, kai įkeliamos teksto zonos failai. [RT # 40274] [RT # 40285]
• Ištaisytas galimas "ratelimiter.c" sugadinimas, kurį sukelia "NOTIFY" pranešimai pašalinami iš netinkamos greičio ribotuvo eilės. [RT # 40350]
• Numatytasis rrset-atsitiktinių eilučių tvarka buvo netinkamai taikoma. [RT # 40456]
• "PALAIKOMŲ" atsakymai iš sugedusių autoritetingų vardų serverių buvo neteisingai tvarkomi. [RT # 40427]
• Į RPZ įgyvendinimą buvo nustatyti keli klaidos: + Politikos zonos, kuriose nebuvo specialiai reikalaujama rekursijos, gali būti traktuojamos taip, lyg jos būtų; Todėl nustatydami qname-wait-recurse no; kartais buvo neveiksmingas. Tai buvo ištaisyta. Daugelyje konfigūracijų elgesio pokyčiai dėl šio nustatymo nebus pastebimi. [RT # 39229] + Serveris gali trikdyti, jei atnaujintos politikos zonos (pvz., Naudojant rndc perkraunamą arba įeinančią zonos perdavimą), kol aktyvus užklausimas vykdomas RPZ apdorojimas. [RT # 39415] + Serveriuose, kuriuose yra viena ar daugiau politikos zonų, sukonfigūruotų kaip vergai, jei politikos zona atnaujinama per įprastą operaciją (o ne paleidžiant) naudojant visą zonos perkrovimą, pvz., Per AXFR, klaida gali leisti RPZ santrauką duomenys išeina iš sinchronizacijos, dėl to gali kilti rpz.c patvirtinimo gedimas, kai zonoje atliekami papildomi papildiniai, pvz., per IXFR. [RT # 39567] + Serveris gali sutalpinti trumpesnį prefiksą nei tas, kuris buvo pasiektas CLIENT-IP politikos paleidžiamuosiuose veiksmuose, todėl gali būti atlikti netikėti veiksmai. Tai buvo ištaisyta. [RT # 39481] + Serveris gali sugesti, jei buvo inicijuotas RPZ zonos perkrovimas, o kita tos pačios zonos perkrauta jau buvo vykdoma.[RT # 39649] + užklausų pavadinimai gali atitikti netinkamą politikos zoną, jei buvo įrašyti pakaitos įrašai. [RT # 40357]