BIND

Uutta versio 9.11.0-P1:

• Suojauskorjaukset:
• OPENPGPKEY rdatatype -virheen tarkistus epäonnistui. Tämä virhe on kuvattu julkaisussa CVE-2015-5986. [RT # 40286]
• Puskurin kirjoitusvirhe voi aiheuttaa virheen määritteleessään virheellisiä DNSSEC-avaimia. Tämä haitta löytyi Hanno Bockilta Fuzzing-projektista, ja se on julkaistu CVE-2015-5722: ssä. [RT # 40212]
• Erityisesti muotoiltu kysely voi aiheuttaa vikailmoituksen message.c. Jonathan Foote löysi tämän virheen, ja se on kuvattu julkaisussa CVE-2015-5477. [RT # 40046]
• Palvelimilla, jotka on määritetty suorittamaan DNSSEC-validoinnin, voidaan olettaa, että määritysvika epäonnistui tietyn konfiguroidun palvelimen vastausten varalta. Tämä virhe havaitsi Breno Silveira Soares, ja se on julkaistu CVE-2015-4620: ssa. [RT # 39795]
• Uudet ominaisuudet:
• Uusia kiintiöitä on lisätty rajoittamaan rekursiivisten resolvertien lähettämiä kyselyjä valtuutetuille palvelimille, jotka kokevat palvelunestohyökkäyksiä. Kun asetukset on määritetty, nämä vaihtoehdot voivat vähentää arvovaltaisten palvelimien aiheuttamia haittoja ja välttää myös rekursiiveihin kohdistuvat voimavarojen sammuminen, kun niitä käytetään tällaisen hyökkäyksen ajoneuvona. HUOMAUTUS: Nämä vaihtoehdot eivät ole käytettävissä oletuksena; käytä konfiguroida --enable-fetchlimit sisällyttää ne sisäänrakennukseen. + hae-palvelin rajoittaa samanaikaisten kyselyjen määrää, jotka voidaan lähettää mille tahansa arvovaltaiselle palvelimelle. Konfiguroitu arvo on lähtökohta; se säätyy automaattisesti alaspäin, jos palvelin on osittain tai kokonaan vastaamatta. Kiintiön säätämiseen käytetty algoritmi voidaan konfiguroida fetch-quota-params -vaihtoehdon avulla. + haetaan-per-vyöhykkeellä rajoitetaan samanaikaisten kyselyjen määrää, jotka voidaan lähettää yhdelle verkkotunnukselle. (Huomaa: Toisin kuin "hae-palvelimella" tämä arvo ei ole itsetuntuva. Tilastolliset laskurit on myös lisätty seuraamaan näiden kiintiöiden aiheuttamaa kyselyä.
• dig + ednsflags voidaan nyt käyttää määrittelemään EDNS-lippuja DNS-pyyntöihin.
• kaivaa + [no] ednsnegotiation voidaan nyt käyttää enable / disable EDNS versio neuvottelu.
• Käytettävissä on --enable-querytrace configure-kytkin, joka mahdollistaa erittäin verbaalisen kyselyn jäljittelyn. Tämä vaihtoehto voidaan asettaa vain koottaessa. Tällä vaihtoehdolla on negatiivinen vaikutus ja sitä saa käyttää vain vianetsinnässä.
• Ominaisuuden muutokset:
• Suurten inline-allekirjoitusten muutosten pitäisi olla vähemmän häiritseviä. Allekirjoituksen generointi tehdään nyt vähitellen; kutakin kvanttimuotoon tuotettavien allekirjoitusten määrää hallitaan "sig-signing-signatures numerolla"; [RT # 37927]
• Kokeellinen SIT-laajennus käyttää nyt EDNS COOKIE -optio -koodipistettä (10) ja se näkyy nimellä "COOKIE:". Olemassa olevat named.conf -direktiivit; "request-sit", "sit-secret" ja "nosit-udp-size" ovat edelleen voimassa, ja ne korvataan BIND 9.11: ssä "send-cookie", "cookie-secret" ja "nocookie-udp-size" . Nykyinen kaivausdirektiivi "+ sit" on edelleen voimassa ja se korvataan nimellä "+ cookie" BIND 9.11: ssä.
• Kun yritetään uudelleen kyselyä TCP: n kautta, kun ensimmäinen vastaus on katkaistu, kaivaa lähetetään nyt oikein palvelimen palauttama COOKIE-arvo edelliseen vastaukseen. [RT # 39047]
• Paikallisen porttisarjan hakeminen verkon.ipv4.ip_local_port_range -ohjelmistosta Linuxissa on nyt tuettu.
• Gc._msdcs-lomakkeen Active Directory -nimet. hyväksytään nyt kelvollisina nimeäminä, kun käytetään ns. tarkistusnimiä. on edelleen rajoitettu kirjaimiin, numeroihin ja väliviivoihin.
• Rich Textin sisältävät nimet hyväksytään nykyisin PTR-tietueiksi DNS-SD-käänteisen haun alueilla, kuten RFC 6763: ssa on määritetty. [RT # 37889]
• Virheiden korjaukset:
• Asynkronisten vyöhykkeiden kuormituksia ei käsitelty oikein, kun vyöhykkeen kuormitus oli jo käynnissä; tämä voi aiheuttaa kaatumisen zt.c. [RT # 37573]
• Kilpailu sammutuksen tai uudelleenkonfiguroinnin aikana voi aiheuttaa vikaantumisen mem.c. [RT # 38979]
• Jotkut vastausmuototavat eivät toimineet oikein kaivaa + lyhyttä. [RT # 39291]
• Joidenkin tyyppien virheelliset tietueet, kuten NSAP ja UNSPEC, voivat aiheuttaa vikaantumisvirheitä tekstivyöhykkeen tiedostoja ladattaessa. [RT # 40274] [RT # 40285]
• Kiinnitti ratelimiter.c: n mahdollinen kaatuminen, jonka aiheuttama NOTIFY-viestien poistaminen väärästä nopeudenrajoittimen jonoon. [RT # 40350]
• Satunnaisen oletusrutiivisarjan epäyhtenäinen soveltaminen. [RT # 40456]
• Rikollisten arvovaltaisten nimipalvelimien BADVERS-vastauksia ei käsitelty oikein. [RT # 40427]
<>RPZ-toteutukseen on määritetty useita vikoja: + Toiminta-alueita, jotka eivät nimenomaisesti vaadi rekursiota, voitaisiin kohdella ikään kuin ne tekivät; näin ollen qname-wait-recurse no; oli joskus tehoton. Tämä on korjattu. Useimmissa kokoonpanoissa tämän korjauksen aiheuttamat käyttäytymismuutokset eivät ole havaittavissa. [RT # 39229] + Palvelin saattaa kaatua, jos päivitysvyöhykkeet päivittyvät (esim. Rndc reload tai saapuva vyöhyke siirto), kun taas RPZ-käsittely jatkuu aktiivisen kyselyn aikana. [RT # 39415] + Jos palvelimilla on yksi tai useampia käytäntöjä, jotka on määritetty orjiksi, jos toimintokohta päivitetään säännöllisen käytön aikana (eikä käynnistyksen yhteydessä) täyden vyöhykkeen uudelleenlatauksen, kuten AXFR: n kautta, virhe saattaa antaa RPZ-yhteenvedon dataa ei synkronoida, mikä voi johtaa vikaantumiseen rpz.c: ssä, kun vyöhykkeeseen lisättiin lisää inkrementaalisia päivityksiä, kuten IXFR: n kautta. [RT # 39567] + Palvelin voisi vastata lyhyempää etuliitettä kuin CLIENT-IP-käytäntöjen laukaisijoissa, joten odottamatonta toimenpidettä voitaisiin käyttää. Tämä on korjattu. [RT # 39481] + Palvelin saattaa kaatua, jos RPZ-vyöhykkeen uudelleenlataus aloitetaan samalla kun toisen alueen uudelleenlataus oli jo käynnissä.

[RT # 39649] + Kyselyn nimet voisivat vastata väärällä vyöhykkeellä, jos jokerimerkkejä esiintyy. [RT # 40357]