BIND (Berkeley Internetes Név Tartomány) egy olyan parancssori UNIX szoftver, amely a Domain Name System (DNS) protokollok nyílt forráskódú megvalósítását osztja szét. Ez egy elhárító könyvtárból áll, név szerint nevű kiszolgáló / démon, valamint szoftveres eszközök a DNS-kiszolgálók megfelelő működésének ellenőrzéséhez és ellenőrzéséhez.
Eredetileg a Berkeley-i Kaliforniai Egyetemen írták el, a BIND számos szervezet, köztük a Sun Microsystems, a HP, a Compaq, az IBM, a Silicon Graphics, a Network Associates, az USA Védelmi Információs Rendszer Ügynöksége, az USENIX Egyesület, a Process Software Corporation, és Stichting NLNet & ndash; NLNet Alapítvány.
Mit tartalmaz?
Mint korábban említettük, a BIND tartalmaz egy tartománynév rendszerkiszolgálót, egy tartománynév rendszermegoldó könyvtárat és szoftvereszközöket a kiszolgálók teszteléséhez. Míg a DNS-kiszolgáló végrehajtása felelős a beérkezett kérdések megválaszolásáért a hivatalos DNS protokoll szabványokban megadott szabályok szerint, a DNS-megoldó könyvtár megoldja a domainnevekkel kapcsolatos kérdéseket.
Támogatott operációs rendszerek
A BIND kifejezetten a GNU / Linux platform számára készült, és jól kell működnie a Linux bármilyen terjesztésével, beleértve a Debian, az Ubuntu, az Arch Linux, a Fedora, a CentOS, a Red Hat Enterprise Linux, a Slackware, a Gentoo, az openSUSE, és sokan mások. Támogatja mind a 32 bites, mind a 64 bites utasításkészlet-architektúrákat.
A projekt egy egységes, univerzális tarballonként kerül forgalomba, amely magában foglalja a BIND forráskódját, amely lehetővé teszi a felhasználók számára, hogy optimalizálják a hardver platform és az operációs rendszer szoftverét (lásd fent a támogatott OSes és architektúrák esetében).
Újdonság ebben a kiadásban:
- Az nxdomain-átirányítással kapcsolatos kódolási hiba állításhiányhoz vezethet, ha az átirányítási névtér egy helyi hiteles adatforrásból, például helyi zónából vagy DLZ-ből származik, a rekurzív lekérdezés helyett. Ezt a hibát a CVE-2016-9778 számú közzétételi iratban ismertetik. [RT # 43837]
- Az elnevezett meghibásodhat a hatósági szekciókban, amelyek hiányoztak az RRSIG-k, amelyek az állítás meghibásodását okozták. Ezt a hibát a CVE-2016-9444 számú közzétételi iratban ismertetik. [RT # 43632]
- Nevezett hibásan adott válaszokat, amelyekre a RRSIG nyilvántartások lefedését a kért adatok nélkül visszakapják, ami állításhiányt eredményez. Ezt a hibát a CVE-2016-9147 számú szabadalmi leírás ismerteti. [RT # 43548]
- A megnevezett helytelenül megpróbált gyorsítótárazni a TKEY rekordokat, amelyek az állítás meghibásodását okozhatják, ha egy osztály nem egyezik meg. Ezt a hibát a CVE-2016-9131 számú szabadalmi leírás ismerteti. [RT # 43522]
- A válasz feldolgozásakor lehetséges állításokat indítani. Ezt a hibát a CVE-2016-8864 számú szabadalmi leírás ismerteti. [RT # 43465]
Újdonság a 9.11.2-es verzióban:
- Az nxdomain-átirányítással kapcsolatos kódolási hiba állításhiányhoz vezethet, ha az átirányítási névtér egy helyi hiteles adatforrásból, például helyi zónából vagy DLZ-ből származik, a rekurzív lekérdezés helyett. Ezt a hibát a CVE-2016-9778 számú közzétételi iratban ismertetik. [RT # 43837]
- Az elnevezett meghibásodhat a hatósági szekciókban, amelyek hiányoztak az RRSIG-k, amelyek az állítás meghibásodását okozták. Ezt a hibát a CVE-2016-9444 számú közzétételi iratban ismertetik. [RT # 43632]
- Nevezett hibásan adott válaszokat, amelyekre a RRSIG nyilvántartások lefedését a kért adatok nélkül visszakapják, ami állításhiányt eredményez. Ezt a hibát a CVE-2016-9147 számú szabadalmi leírás ismerteti. [RT # 43548]
- A megnevezett helytelenül megpróbált gyorsítótárazni a TKEY rekordokat, amelyek az állítás meghibásodását okozhatják, ha egy osztály nem egyezik meg. Ezt a hibát a CVE-2016-9131 számú szabadalmi leírás ismerteti. [RT # 43522]
- A válasz feldolgozásakor lehetséges állításokat indítani. Ezt a hibát a CVE-2016-8864 számú szabadalmi leírás ismerteti. [RT # 43465]
Az újdonság a 9.11.1-P3 verzióban:
- Az nxdomain-átirányítással kapcsolatos kódolási hiba állításhiányhoz vezethet, ha az átirányítási névtér egy helyi hiteles adatforrásból, például helyi zónából vagy DLZ-ből származik, a rekurzív lekérdezés helyett. Ezt a hibát a CVE-2016-9778 számú közzétételi iratban ismertetik. [RT # 43837]
- Az elnevezett meghibásodhat a hatósági szekciókban, amelyek hiányoztak az RRSIG-k, amelyek az állítás meghibásodását okozták. Ezt a hibát a CVE-2016-9444 számú közzétételi iratban ismertetik. [RT # 43632]
- Nevezett hibásan adott válaszokat, amelyekre a RRSIG nyilvántartások lefedését a kért adatok nélkül visszakapják, ami állításhiányt eredményez. Ezt a hibát a CVE-2016-9147 számú szabadalmi leírás ismerteti. [RT # 43548]
- A megnevezett helytelenül megpróbált gyorsítótárazni a TKEY rekordokat, amelyek az állítás meghibásodását okozhatják, ha egy osztály nem egyezik meg. Ezt a hibát a CVE-2016-9131 számú szabadalmi leírás ismerteti. [RT # 43522]
- A válasz feldolgozásakor lehetséges állításokat indítani. Ezt a hibát a CVE-2016-8864 számú szabadalmi leírás ismerteti. [RT # 43465]
Az újdonság a 9.11.1-P1 verzióban:
- Az nxdomain-átirányítással kapcsolatos kódolási hiba állításhiányhoz vezethet, ha az átirányítási névtér egy helyi hiteles adatforrásból, például helyi zónából vagy DLZ-ből származik, a rekurzív lekérdezés helyett. Ezt a hibát a CVE-2016-9778 számú közzétételi iratban ismertetik. [RT # 43837]
- Az elnevezett meghibásodhat a hatósági szekciókban, amelyek hiányoztak az RRSIG-k, amelyek az állítás meghibásodását okozták. Ezt a hibát a CVE-2016-9444 számú közzétételi iratban ismertetik. [RT # 43632]
- Nevezett hibásan adott válaszokat, amelyekre a RRSIG nyilvántartások lefedését a kért adatok nélkül visszakapják, ami állításhiányt eredményez. Ezt a hibát a CVE-2016-9147 számú szabadalmi leírás ismerteti. [RT # 43548]
- A megnevezett helytelenül megpróbált gyorsítótárazni a TKEY rekordokat, amelyek az állítás meghibásodását okozhatják, ha egy osztály nem egyezik meg. Ezt a hibát a CVE-2016-9131 számú szabadalmi leírás ismerteti. [RT # 43522]
- A válasz feldolgozásakor lehetséges állításokat indítani. Ezt a hibát a CVE-2016-8864 számú szabadalmi leírás ismerteti. [RT # 43465]
Az újdonság a 9.11.1 verzióban:
- Az nxdomain-átirányítással kapcsolatos kódolási hiba állításhiányhoz vezethet, ha az átirányítási névtér egy helyi hiteles adatforrásból, például helyi zónából vagy DLZ-ből származik, a rekurzív lekérdezés helyett. Ezt a hibát a CVE-2016-9778 számú közzétételi iratban ismertetik. [RT # 43837]
- Az elnevezett meghibásodhat a hatósági szekciókban, amelyek hiányoztak az RRSIG-k, amelyek az állítás meghibásodását okozták. Ezt a hibát a CVE-2016-9444 számú közzétételi iratban ismertetik. [RT # 43632]
- Nevezett hibásan adott válaszokat, amelyekre a RRSIG nyilvántartások lefedését a kért adatok nélkül visszakapják, ami állításhiányt eredményez. Ezt a hibát a CVE-2016-9147 számú szabadalmi leírás ismerteti. [RT # 43548]
- A megnevezett helytelenül megpróbált gyorsítótárazni a TKEY rekordokat, amelyek az állítás meghibásodását okozhatják, ha egy osztály nem egyezik meg. Ezt a hibát a CVE-2016-9131 számú szabadalmi leírás ismerteti. [RT # 43522]
- A válasz feldolgozásakor lehetséges állításokat indítani. Ezt a hibát a CVE-2016-8864 számú szabadalmi leírás ismerteti. [RT # 43465]
Az újdonság a 9.11.0-P2 verzióban:
- Az nxdomain-átirányítási funkció kódolási hibája meghiúsulást eredményezhet, ha az átirányítási névtér egy helyi hiteles adatforrásból, például helyi zónából vagy DLZ-ből származik, a rekurzív lekérdezés helyett. Ezt a hibát a CVE-2016-9778 számú közzétételi iratban ismertetik. [RT # 43837]
- Az elnevezett meghibásodhat a hatósági szekciókban, amelyek hiányoztak az RRSIG-k, amelyek az állítás meghibásodását okozták. Ezt a hibát a CVE-2016-9444 számú közzétételi iratban ismertetik. [RT # 43632]
- Nevezett hibásan adott válaszokat, amelyekre a RRSIG nyilvántartások lefedését a kért adatok nélkül visszakapják, ami állításhiányt eredményez. Ezt a hibát a CVE-2016-9147 számú szabadalmi leírás ismerteti. [RT # 43548]
- A megnevezett helytelenül megpróbált gyorsítótárazni a TKEY rekordokat, amelyek az állítás meghibásodását okozhatják, ha egy osztály nem egyezik meg. Ezt a hibát a CVE-2016-9131 számú szabadalmi leírás ismerteti. [RT # 43522]
- A válasz feldolgozásakor lehetséges állításokat indítani. Ezt a hibát a CVE-2016-8864 számú szabadalmi leírás ismerteti. [RT # 43465]
Az újdonság a 9.11.0-P1 verzióban:
- Biztonsági javítások:
- Az OPENPGPKEY rdatatype hibás határellenőrzése érvénytelenné válhat. Ezt a hibát a CVE-2015-5986. [RT # 40286]
- Puha könyvelési hiba előfordulhat, hogy bizonyos hibás DNSSEC kulcsok elemzésekor hiba lép fel. Ezt a hibát Hanno Bock fedezte fel a fuzzing projekt, és közzétették a CVE-2015-5722-ben. [RT # 40212]
- Egy speciálisan kialakított lekérdezés üzenetet okozhat az üzenetben.c. Ezt a hibát Jonathan Foote fedezte fel, és a CVE-2015-5477-ben közlik. [RT # 40046]
- A DNSSEC érvényesítés elvégzésére konfigurált kiszolgálókon előfordulhat, hogy egy speciálisan konfigurált kiszolgálótól érkező válaszok egy kivizsgálási hibát okoztak. Ezt a hibát Breno Silveira Soares fedezte fel, és a CVE-2015-4620-ban közlik. [RT # 39795]
- Új funkciók:
- Új kvótákat adtak hozzá, hogy korlátozzák a rekurzív felbontók által küldött lekérdezéseket olyan hiteles kiszolgálók számára, amelyek szolgáltatásmegtagadási támadásokkal szembesülnek. Ha konfigurálva van, ezek a lehetőségek csökkenthetik a hiteles kiszolgálók kárát, és elkerülhetik azt az erőforrás kimerülését, amelyet a rekurzívumok tapasztalhatnak, amikor ilyen támadás eszközeként használják őket. MEGJEGYZÉS: Ezek a beállítások alapértelmezés szerint nem érhetők el; használd a configure --enable-fetchlimit -ot a beépítésbe. A + fetches-per-server korlátozza az egyidejű lekérdezések számát, amelyeket egyetlen hiteles kiszolgálónak elküldhet. A konfigurált érték kiindulópont; automatikusan lefelé módosul, ha a szerver részben vagy teljesen nem reagál. A kvóta beállításához használt algoritmus a fetch-quota-params opcióval konfigurálható. A + fetches-per-zóna korlátozza azon egyidejű lekérdezések számát, amelyeket egyetlen tartományon belül lehet elküldeni. (Megjegyzés: A "kiszolgálóra leadott keresések" ellentétben ez az érték nem önszabályozó.) Statisztikai számlálókat is hozzáadtak a kvóták által érintett lekérdezések számának követéséhez.
- dig + ednsflag-ok mostantól definiálható EDNS-jelzőket állíthatnak be a DNS-kérelmekben.
- dig + [no] ednsnegotiation mostantól engedélyezhető / letiltható EDNS verzióváltás.
- Az "enable-querytrace configure" kapcsoló mostantól elérhetővé teszi a rendkívül átfogó lekérdezést. Ez az opció csak fordítási időben állítható be. Ez a beállítás negatív hatással jár, és csak hibakeresésre használható.
- Változások:
- A nagyméretű beágyazási változtatásoknak kevésbé zavaróaknak kell lenniük. Az aláírás generálása most történik fokozatosan; az egyes kvantumokban generálandó aláírások számát a "sig-signature-signature number" vezérli; [RT # 37927]
- A kísérleti SIT bővítmény most használja az EDNS COOKIE opcionális kódpontot (10), és "COOKIE:" néven jelenik meg. A meglévő named.conf irányelvek; a "request-sit", a "sit-secret" és a "nosit-udp-size" még mindig érvényesek, és a "Bind 9.11 . A meglévő "+ sit" irányelvek érvényben maradnak, és a BIND 9.11-ben a "+ cookie" kifejezés helyébe lép.
- A TCP-n keresztüli lekérdezés újrapróbálása az első válasz lecserélése miatt az ásás most megfelelően elküldi a szerver által a korábbi válaszban visszaküldött COOKIE értéket. [RT # 39047]
- A helyi porttartomány lekérése a net.ipv4.ip_local_port_range fájlról a Linux rendszeren jelenleg támogatott.
- A gc._msdcs formátumú Active Directory nevek. a csekknevek opció használatakor elfogadják az érvényes gépneveket. még mindig betűkre, számjegyekre és kötőjelekre korlátozódik.
- A DNS-SD fordított keresési zónákban a DNS-SD fordított keresési zónákban a gazdag szövegeket tartalmazó nevek mostantól érvényesek, az RFC 6763 szerint. [RT # 37889]
- Hibajavítások:
- Az aszinkron zóna terheléseket nem kezelték megfelelően, amikor a zónaterhelés már folyamatban volt; ez zt.c. [RT # 37573]
- A leállítás vagy újrakonfigurálás során fellépő verseny meghibásodást okozhat mem.c. [RT # 38979]
- Néhány válaszformázási opció nem működött helyesen az dig + rövidítéssel. [RT # 39291]
- Bizonyos típusok hibás feljegyzései, például az NSAP és az UNSPEC, kiválthatják az állítás hibáit a szöveges zónafájlok betöltésekor. [RT # 40274] [RT # 40285]
- Megállapította a ratelimiter.c esetleges lezuhanását, melyet a NOTIFY üzenetek eltávolítása okozott a hibás sebességkorlátozó sorból. [RT # 40350]
- A véletlenszerű alapértelmezett rácstort nem alkalmazták következetesen. [RT # 40456]
- A hibás, névtelen szerverekről érkező BADVERS-válaszokat nem kezelték megfelelően. [RT # 40427] <>Az RPZ végrehajtásában több hiba is be lett állítva: + Az olyan szakpolitikai zónákat, amelyek nem igényelték kifejezetten a rekurziót, ugyanúgy kezelhetők, mintha azok; következésképpen a qname-wait-recurse beállítása; néha hatástalan volt. Ezt korrigálták. A legtöbb konfigurációban a javítás miatt bekövetkező viselkedésbeli változások nem lesznek észrevehetők. [RT # 39229] + A szerver összeomolhat, ha a házirend-zónák frissítése (például rndc reload vagy bejövő zónaátvitel), míg az RPZ-feldolgozás folyamatban van egy aktív lekérdezésnél. [RT # 39415] + Egy olyan szerveren, ahol egy vagy több zóna van beállítva rabszolgaként, ha egy zóna zóna rendszeres működés közben (nem pedig indításkor) teljes zóna újratöltésével, például az AXFR-n keresztül, egy hiba lehetővé teheti az RPZ összefoglalóját az adatok szinkronizálódni fognak, ami potenciálisan az rpz.c-ben lévő állításhiányhoz vezethet, amikor további zónára, például IXFR-re kiterjedő frissítések történtek. [RT # 39567] + A kiszolgáló rövidebb előtagot tudna felvenni, mint ami az OLDAL-IP-házirend-kiváltóban elérhető volt, így váratlan műveletet lehetett végrehajtani. Ezt korrigálták. [RT # 39481] + A kiszolgáló összeomolhatna, ha egy RPZ zóna újratöltését kezdeményeznék, míg egy másik zóna újratöltése már folyamatban volt.
A
[RT # 39649] + A lekérdezések nevei helytelen politikai zónához illeszthetők, ha helyettesítő rekordok vannak jelen. [RT # 40357]
Az újdonság a 9.11.0 verzióban:
- Biztonsági javítások:
- Az OPENPGPKEY rdatatype hibás határellenőrzése érvénytelenné válhat. Ezt a hibát a CVE-2015-5986. [RT # 40286]
- Puha könyvelési hiba előfordulhat, hogy bizonyos hibás DNSSEC kulcsok elemzésekor hiba lép fel. Ezt a hibát Hanno Bock fedezte fel a fuzzing projekt, és közzétették a CVE-2015-5722-ben. [RT # 40212]
- Egy speciálisan kialakított lekérdezés üzenetet okozhat az üzenetben.c. Ezt a hibát Jonathan Foote fedezte fel, és a CVE-2015-5477-ben közlik. [RT # 40046]
- A DNSSEC érvényesítés elvégzésére konfigurált kiszolgálókon előfordulhat, hogy egy speciálisan konfigurált kiszolgálótól érkező válaszok egy kivizsgálási hibát okoztak. Ezt a hibát Breno Silveira Soares fedezte fel, és a CVE-2015-4620-ban közlik. [RT # 39795]
- Új funkciók:
- Új kvótákat adtak hozzá, hogy korlátozzák a rekurzív felbontók által küldött lekérdezéseket olyan hiteles kiszolgálók számára, amelyek szolgáltatásmegtagadási támadásokkal szembesülnek. Ha konfigurálva van, ezek a lehetőségek csökkenthetik a hiteles kiszolgálók kárát, és elkerülhetik azt az erőforrás kimerülését, amelyet a rekurzívumok tapasztalhatnak, amikor ilyen támadás eszközeként használják őket. MEGJEGYZÉS: Ezek a beállítások alapértelmezés szerint nem érhetők el; használd a configure --enable-fetchlimit -ot a beépítésbe. A + fetches-per-server korlátozza az egyidejű lekérdezések számát, amelyeket egyetlen hiteles kiszolgálónak elküldhet. A konfigurált érték kiindulópont; automatikusan lefelé módosul, ha a szerver részben vagy teljesen nem reagál. A kvóta beállításához használt algoritmus a fetch-quota-params opcióval konfigurálható. A + fetches-per-zóna korlátozza azon egyidejű lekérdezések számát, amelyeket egyetlen tartományon belül lehet elküldeni. (Megjegyzés: A "kiszolgálóra leadott keresések" ellentétben ez az érték nem önszabályozó.) Statisztikai számlálókat is hozzáadtak a kvóták által érintett lekérdezések számának követéséhez.
- dig + ednsflag-ok mostantól definiálható EDNS-jelzőket állíthatnak be a DNS-kérelmekben.
- dig + [no] ednsnegotiation mostantól engedélyezhető / letiltható EDNS verzióváltás.
- Az "enable-querytrace configure" kapcsoló mostantól elérhetővé teszi a rendkívül átfogó lekérdezést. Ez az opció csak fordítási időben állítható be. Ez a beállítás negatív hatással jár, és csak hibakeresésre használható.
- Változások:
- A nagyméretű beágyazási változtatásoknak kevésbé zavaróaknak kell lenniük. Az aláírás generálása most történik fokozatosan; az egyes kvantumokban generálandó aláírások számát a "sig-signature-signature number" vezérli; [RT # 37927]
- A kísérleti SIT bővítmény most használja az EDNS COOKIE opcionális kódpontot (10), és "COOKIE:" néven jelenik meg. A meglévő named.conf irányelvek; a "request-sit", a "sit-secret" és a "nosit-udp-size" még mindig érvényesek, és a "Bind 9.11 . A meglévő "+ sit" irányelvek érvényben maradnak, és a BIND 9.11-ben a "+ cookie" kifejezés helyébe lép.
- A TCP-n keresztüli lekérdezés újrapróbálása az első válasz lecserélése miatt az ásás most megfelelően elküldi a szerver által a korábbi válaszban visszaküldött COOKIE értéket. [RT # 39047]
- A helyi porttartomány lekérése a net.ipv4.ip_local_port_range fájlról a Linux rendszeren jelenleg támogatott.
- A gc._msdcs formátumú Active Directory nevek. a csekknevek opció használatakor elfogadják az érvényes gépneveket. még mindig betűkre, számjegyekre és kötőjelekre korlátozódik.
- A DNS-SD fordított keresési zónákban a DNS-SD fordított keresési zónákban a gazdag szövegeket tartalmazó nevek mostantól érvényesek, az RFC 6763 szerint. [RT # 37889]
- Hibajavítások:
- Az aszinkron zóna terheléseket nem kezelték megfelelően, amikor a zónaterhelés már folyamatban volt; ez zt.c. [RT # 37573]
- A leállítás vagy újrakonfigurálás során fellépő verseny meghibásodást okozhat mem.c. [RT # 38979]
- Néhány válaszformázási opció nem működött helyesen az dig + rövidítéssel. [RT # 39291]
- Bizonyos típusok hibás feljegyzései, például az NSAP és az UNSPEC, kiválthatják az állítás hibáit a szöveges zónafájlok betöltésekor. [RT # 40274] [RT # 40285]
- Megállapította a ratelimiter.c esetleges lezuhanását, melyet a NOTIFY üzenetek eltávolítása okozott a hibás sebességkorlátozó sorból. [RT # 40350]
- A véletlenszerű alapértelmezett rácstort nem alkalmazták következetesen. [RT # 40456]
- A hibás, névtelen szerverekről érkező BADVERS-válaszokat nem kezelték megfelelően. [RT # 40427] <>Az RPZ végrehajtásában több hiba is be lett állítva: + Az olyan szakpolitikai zónákat, amelyek nem igényelték kifejezetten a rekurziót, ugyanúgy kezelhetők, mintha azok; következésképpen a qname-wait-recurse beállítása; néha hatástalan volt. Ezt korrigálták. A legtöbb konfigurációban a javítás miatt bekövetkező viselkedésbeli változások nem lesznek észrevehetők. [RT # 39229] + A szerver összeomolhat, ha a házirend-zónák frissítése (például rndc reload vagy bejövő zónaátvitel), míg az RPZ-feldolgozás folyamatban van egy aktív lekérdezésnél. [RT # 39415] + Egy olyan szerveren, ahol egy vagy több zóna van beállítva rabszolgaként, ha egy zóna zóna rendszeres működés közben (nem pedig indításkor) teljes zóna újratöltésével, például az AXFR-n keresztül, egy hiba lehetővé teheti az RPZ összefoglalóját az adatok szinkronizálódni fognak, ami potenciálisan az rpz.c-ben lévő állításhiányhoz vezethet, amikor további zónára, például IXFR-re kiterjedő frissítések történtek. [RT # 39567] + A kiszolgáló rövidebb előtagot tudna felvenni, mint ami az OLDAL-IP-házirend-kiváltóban elérhető volt, így váratlan műveletet lehetett végrehajtani. Ezt korrigálták. [RT # 39481] + A kiszolgáló összeomolhatna, ha egy RPZ zóna újratöltését kezdeményeznék, míg egy másik zóna újratöltése már folyamatban volt.
A
[RT # 39649] + A lekérdezések nevei helytelen politikai zónához illeszthetők, ha helyettesítő rekordok vannak jelen. [RT # 40357]
Az újdonság a 9.10.4-P3 verzióban:
- Biztonsági javítások:
- Az OPENPGPKEY rdatatype hibás határellenőrzése érvénytelenné válhat. Ezt a hibát a CVE-2015-5986. [RT # 40286]
- Puha könyvelési hiba előfordulhat, hogy bizonyos hibás DNSSEC kulcsok elemzésekor hiba lép fel. Ezt a hibát Hanno Bock fedezte fel a fuzzing projekt, és közzétették a CVE-2015-5722-ben. [RT # 40212]
- Egy speciálisan kialakított lekérdezés üzenetet okozhat az üzenetben.c. Ezt a hibát Jonathan Foote fedezte fel, és a CVE-2015-5477-ben közlik. [RT # 40046]
- A DNSSEC érvényesítés elvégzésére konfigurált kiszolgálókon előfordulhat, hogy egy speciálisan konfigurált kiszolgálótól érkező válaszok egy kivizsgálási hibát okoztak. Ezt a hibát Breno Silveira Soares fedezte fel, és a CVE-2015-4620-ban közlik. [RT # 39795]
- Új funkciók:
- Új kvótákat adtak hozzá, hogy korlátozzák a rekurzív felbontók által küldött lekérdezéseket olyan hiteles kiszolgálók számára, amelyek szolgáltatásmegtagadási támadásokkal szembesülnek. Ha konfigurálva van, ezek a lehetőségek csökkenthetik a hiteles kiszolgálók kárát, és elkerülhetik azt az erőforrás kimerülését, amelyet a rekurzívumok tapasztalhatnak, amikor ilyen támadás eszközeként használják őket. MEGJEGYZÉS: Ezek a beállítások alapértelmezés szerint nem érhetők el; használd a configure --enable-fetchlimit -ot a beépítésbe. A + fetches-per-server korlátozza az egyidejű lekérdezések számát, amelyeket egyetlen hiteles kiszolgálónak elküldhet. A konfigurált érték kiindulópont; automatikusan lefelé módosul, ha a szerver részben vagy teljesen nem reagál. A kvóta beállításához használt algoritmus a fetch-quota-params opcióval konfigurálható. A + fetches-per-zóna korlátozza azon egyidejű lekérdezések számát, amelyeket egyetlen tartományon belül lehet elküldeni. (Megjegyzés: A "kiszolgálóra leadott keresések" ellentétben ez az érték nem önszabályozó.) Statisztikai számlálókat is hozzáadtak a kvóták által érintett lekérdezések számának követéséhez.
- dig + ednsflag-ok mostantól definiálható EDNS-jelzőket állíthatnak be a DNS-kérelmekben.
- dig + [no] ednsnegotiation mostantól engedélyezhető / letiltható EDNS verzióváltás.
- Az "enable-querytrace configure" kapcsoló mostantól elérhetővé teszi a rendkívül átfogó lekérdezést. Ez az opció csak fordítási időben állítható be. Ez a beállítás negatív hatással jár, és csak hibakeresésre használható.
- Változások:
- A nagyméretű beágyazási változtatásoknak kevésbé zavaróaknak kell lenniük. Az aláírás generálása most történik fokozatosan; az egyes kvantumokban generálandó aláírások számát a "sig-signature-signature number" vezérli; [RT # 37927]
- A kísérleti SIT bővítmény most használja az EDNS COOKIE opcionális kódpontot (10), és "COOKIE:" néven jelenik meg. A meglévő named.conf irányelvek; a "request-sit", a "sit-secret" és a "nosit-udp-size" még mindig érvényesek, és a "Bind 9.11 . A meglévő "+ sit" irányelvek érvényben maradnak, és a BIND 9.11-ben a "+ cookie" kifejezés helyébe lép.
- A TCP-n keresztüli lekérdezés újrapróbálása az első válasz lecserélése miatt az ásás most megfelelően elküldi a szerver által a korábbi válaszban visszaküldött COOKIE értéket. [RT # 39047]
- A helyi porttartomány lekérése a net.ipv4.ip_local_port_range fájlról a Linux rendszeren jelenleg támogatott.
- A gc._msdcs formátumú Active Directory nevek. a csekknevek opció használatakor elfogadják az érvényes gépneveket. még mindig betűkre, számjegyekre és kötőjelekre korlátozódik.
- A DNS-SD fordított keresési zónákban a DNS-SD fordított keresési zónákban a gazdag szövegeket tartalmazó nevek mostantól érvényesek, az RFC 6763 szerint. [RT # 37889]
- Hibajavítások:
- Az aszinkron zóna terheléseket nem kezelték megfelelően, amikor a zónaterhelés már folyamatban volt; ez zt.c. [RT # 37573]
- A leállítás vagy újrakonfigurálás során fellépő verseny meghibásodást okozhat mem.c. [RT # 38979]
- Néhány válaszformázási opció nem működött helyesen az dig + rövidítéssel. [RT # 39291]
- Bizonyos típusok hibás feljegyzései, például az NSAP és az UNSPEC, kiválthatják az állítás hibáit a szöveges zónafájlok betöltésekor. [RT # 40274] [RT # 40285]
- Megállapította a ratelimiter.c esetleges lezuhanását, melyet a NOTIFY üzenetek eltávolítása okozott a hibás sebességkorlátozó sorból. [RT # 40350]
- A véletlenszerű alapértelmezett rácstort nem alkalmazták következetesen. [RT # 40456]
- A hibás, névtelen szerverekről érkező BADVERS-válaszokat nem kezelték megfelelően. [RT # 40427] <>Az RPZ végrehajtásában több hiba is be lett állítva: + Az olyan szakpolitikai zónákat, amelyek nem igényelték kifejezetten a rekurziót, ugyanúgy kezelhetők, mintha azok; következésképpen a qname-wait-recurse beállítása; néha hatástalan volt. Ezt korrigálták. A legtöbb konfigurációban a javítás miatt bekövetkező viselkedésbeli változások nem lesznek észrevehetők. [RT # 39229] + A szerver összeomolhat, ha a házirend-zónák frissítése (például rndc reload vagy bejövő zónaátvitel), míg az RPZ-feldolgozás folyamatban van egy aktív lekérdezésnél. [RT # 39415] + Egy olyan szerveren, ahol egy vagy több zóna van beállítva rabszolgaként, ha egy zóna zóna rendszeres működés közben (nem pedig indításkor) teljes zóna újratöltésével, például az AXFR-n keresztül, egy hiba lehetővé teheti az RPZ összefoglalóját az adatok szinkronizálódni fognak, ami potenciálisan az rpz.c-ben lévő állításhiányhoz vezethet, amikor további zónára, például IXFR-re kiterjedő frissítések történtek. [RT # 39567] + A kiszolgáló rövidebb előtagot tudna felvenni, mint ami az OLDAL-IP-házirend-kiváltóban elérhető volt, így váratlan műveletet lehetett végrehajtani. Ezt korrigálták. [RT # 39481] + A kiszolgáló összeomolhatna, ha egy RPZ zóna újratöltését kezdeményeznék, míg egy másik zóna újratöltése már folyamatban volt.[RT # 39649] + A lekérdezések nevei a rossz szakpolitikai zónához illeszthetők, ha helyettesítő rekordok vannak jelen. [RT # 40357]
A
Hozzászólás nem található