BIND

Software kuvakaappaus:
BIND
Ohjelmiston tiedot:
Versio: 9.11.2-P1 Päivitetty
Lähetyksen päivämäärä: 20 Jan 18
Kehittäjä: ISC Software
Lupa: Vapaa
Suosio: 110

Rating: 2.5/5 (Total Votes: 2)

BIND (Berkeley Internet Name Domain) on komentorivi UNIX-ohjelmisto, joka jakaa DNS-protokollan avoimen lähdekoodin toteutuksen. Se koostuu resolver-kirjastosta, `named 'nimeltään palvelimesta / daemonista sekä ohjelmistovälineistä DNS-palvelimien oikean toiminnan testaamiseksi ja tarkastamiseksi.

Alun perin kirjoitti Berktiin Kalifornian yliopistossa Berkleyn useat organisaatiot, kuten Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, Yhdysvaltain puolustusalan tietojärjestelmävirasto, USENIX-yhdistykset, Process Software Corporation, Nominum, ja Stichting NLNet & ndash; NLNet -säätiö.


Mikä on mukana?

Kuten mainittiin, BIND koostuu verkkotunnuksen järjestelmän palvelimesta, verkkotunnuksen järjestelmän resolver-kirjastosta ja palvelinten testaustyökaluista. Vaikka DNS-palvelimen toteutus vastaa kaikkien vastaanotettujen kysymysten vastaamisesta käyttämällä virallisia DNS-protokollan standardeja, DNS-resolver-kirjasto ratkaisee verkkotunnusten kysymyksiä.

Tuetut käyttöjärjestelmät

BIND on suunniteltu erityisesti GNU / Linux-alustalle, ja sen pitäisi toimia hyvin kaikissa Linux-jakeluissa, mukaan lukien Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, openSUSE, Mageia, ja monet muut. Se tukee sekä 32-bittisiä että 64-bittisiä käskyjoukon arkkitehtuureja.

Hanke on jaettu yhtenäiseksi, universaaliksi tarballiksi, joka sisältää BINDin lähdekoodin, jonka avulla käyttäjät voivat optimoida ohjelmistonsa laitteistoalustalleen ja käyttöjärjestelmälleen (katso edellä tuetuille käyttöjärjestelmille ja arkkitehtuureille).

Mitä uutta on tässä versiossa:

  • Viestinnän uudelleenohjausominaisuuden koodausvirhe voi johtaa vikaantumiseen, jos uudelleenohjausnimialue toimitettiin paikalliselta arvovaltaiselle tietolähteelle, kuten paikalliselle vyöhykkeelle tai DLZ: lle rekursiivisen haun sijaan. Tämä virhe esitetään julkaisussa CVE-2016-9778. [RT # 43837]
  • Nimetty voisi vääristää viranomaisosioita, jotka puuttuivat RRSIG: stä, jotka aiheuttivat vian epäonnistumisen. Tämä virhe esitetään julkaisussa CVE-2016-9444. [RT # 43632]
  • Nimetty virheellinen vastaus, jossa RRSIG-tietueiden peittäminen palautetaan ilman pyydettyjä tietoja, mikä johtaa vikaantumiseen. Tämä virhe esitetään julkaisussa CVE-2016-9147. [RT # 43548]
  • Nimi on yrittänyt väärin yrittää välittää TKEY-tietueita, jotka saattavat laukaista oletuksen epäonnistumisen, kun luokassa ei ollut yhteensopivuutta. Tämä virhe on esitetty julkaisussa CVE-2016-9131. [RT # 43522]
  • Vastetta käsiteltäessä oli mahdollista esittää väitteitä. Tämä virhe on kuvattu julkaisussa CVE-2016-8864. [RT # 43465]

Uutta versio 9.11.2:

  • Viestinnän uudelleenohjausominaisuuden koodausvirhe voi johtaa vikaantumiseen, jos uudelleenohjausnimialue toimitettiin paikalliselta arvovaltaiselle tietolähteelle, kuten paikalliselle vyöhykkeelle tai DLZ: lle rekursiivisen haun sijaan. Tämä virhe esitetään julkaisussa CVE-2016-9778. [RT # 43837]
  • Nimetty voisi vääristää viranomaisosioita, jotka puuttuivat RRSIG: stä, jotka aiheuttivat vian epäonnistumisen. Tämä virhe esitetään julkaisussa CVE-2016-9444. [RT # 43632]
  • Nimetty virheellinen vastaus, jossa RRSIG-tietueiden peittäminen palautetaan ilman pyydettyjä tietoja, mikä johtaa vikaantumiseen. Tämä virhe esitetään julkaisussa CVE-2016-9147. [RT # 43548]
  • Nimi on yrittänyt väärin yrittää välittää TKEY-tietueita, jotka saattavat laukaista oletuksen epäonnistumisen, kun luokassa ei ollut yhteensopivuutta. Tämä virhe on esitetty julkaisussa CVE-2016-9131. [RT # 43522]
  • Vastetta käsiteltäessä oli mahdollista esittää väitteitä. Tämä virhe on kuvattu julkaisussa CVE-2016-8864. [RT # 43465]

Uutta versio 9.11.1-P3:

  • Viestinnän uudelleenohjausominaisuuden koodausvirhe voi johtaa vikaantumiseen, jos uudelleenohjausnimialue toimitettiin paikalliselta arvovaltaiselle tietolähteelle, kuten paikalliselle vyöhykkeelle tai DLZ: lle rekursiivisen haun sijaan. Tämä virhe esitetään julkaisussa CVE-2016-9778. [RT # 43837]
  • Nimetty voisi vääristää viranomaisosioita, jotka puuttuivat RRSIG: stä, jotka aiheuttivat vian epäonnistumisen. Tämä virhe esitetään julkaisussa CVE-2016-9444. [RT # 43632]
  • Nimetty virheellinen vastaus, jossa RRSIG-tietueiden peittäminen palautetaan ilman pyydettyjä tietoja, mikä johtaa vikaantumiseen. Tämä virhe esitetään julkaisussa CVE-2016-9147. [RT # 43548]
  • Nimi on yrittänyt väärin yrittää välittää TKEY-tietueita, jotka saattavat laukaista oletuksen epäonnistumisen, kun luokassa ei ollut yhteensopivuutta. Tämä virhe on esitetty julkaisussa CVE-2016-9131. [RT # 43522]
  • Vastetta käsiteltäessä oli mahdollista esittää väitteitä. Tämä virhe on kuvattu julkaisussa CVE-2016-8864. [RT # 43465]

Uutta versio 9.11.1-P1:

  • Viestinnän uudelleenohjausominaisuuden koodausvirhe voi johtaa vikaantumiseen, jos uudelleenohjausnimialue toimitettiin paikalliselta arvovaltaiselle tietolähteelle, kuten paikalliselle vyöhykkeelle tai DLZ: lle rekursiivisen haun sijaan. Tämä virhe esitetään julkaisussa CVE-2016-9778. [RT # 43837]
  • Nimetty voisi vääristää viranomaisosioita, jotka puuttuivat RRSIG: stä, jotka aiheuttivat vian epäonnistumisen. Tämä virhe esitetään julkaisussa CVE-2016-9444. [RT # 43632]
  • Nimetty virheellinen vastaus, jossa RRSIG-tietueiden peittäminen palautetaan ilman pyydettyjä tietoja, mikä johtaa vikaantumiseen. Tämä virhe esitetään julkaisussa CVE-2016-9147. [RT # 43548]
  • Nimi on yrittänyt väärin yrittää välittää TKEY-tietueita, jotka saattavat laukaista oletuksen epäonnistumisen, kun luokassa ei ollut yhteensopivuutta. Tämä virhe on esitetty julkaisussa CVE-2016-9131. [RT # 43522]
  • Vastetta käsiteltäessä oli mahdollista esittää väitteitä. Tämä virhe on kuvattu julkaisussa CVE-2016-8864. [RT # 43465]

Uutta versio 9.11.1:

  • Viestinnän uudelleenohjausominaisuuden koodausvirhe voi johtaa vikaantumiseen, jos uudelleenohjausnimialue toimitettiin paikalliselta arvovaltaiselle tietolähteelle, kuten paikalliselle vyöhykkeelle tai DLZ: lle rekursiivisen haun sijaan. Tämä virhe esitetään julkaisussa CVE-2016-9778. [RT # 43837]
  • Nimetty voisi vääristää viranomaisosioita, jotka puuttuivat RRSIG: stä, jotka aiheuttivat vian epäonnistumisen. Tämä virhe esitetään julkaisussa CVE-2016-9444. [RT # 43632]
  • Nimetty virheellinen vastaus, jossa RRSIG-tietueiden peittäminen palautetaan ilman pyydettyjä tietoja, mikä johtaa vikaantumiseen. Tämä virhe esitetään julkaisussa CVE-2016-9147. [RT # 43548]
  • Nimi on yrittänyt väärin yrittää välittää TKEY-tietueita, jotka saattavat laukaista oletuksen epäonnistumisen, kun luokassa ei ollut yhteensopivuutta. Tämä virhe on esitetty julkaisussa CVE-2016-9131. [RT # 43522]
  • Vastetta käsiteltäessä oli mahdollista esittää väitteitä. Tämä virhe on kuvattu julkaisussa CVE-2016-8864. [RT # 43465]

Uutta versio 9.11.0-P2:

  • Škoddomain-uudelleenohjausominaisuuden koodausvirhe voi johtaa vikaantumiseen, jos uudelleenohjaus-nimiavaruus toimitettiin paikalliselta arvovaltaiselle tietolähteelle, kuten paikalliselle vyöhykkeelle tai DLZ: lle, rekursiivisen haun sijaan. Tämä virhe esitetään julkaisussa CVE-2016-9778. [RT # 43837]
  • Nimetty voisi vääristää viranomaisosioita, jotka puuttuivat RRSIG: stä, jotka aiheuttivat vian epäonnistumisen. Tämä virhe esitetään julkaisussa CVE-2016-9444. [RT # 43632]
  • Nimetty virheellinen vastaus, jossa RRSIG-tietueiden peittäminen palautetaan ilman pyydettyjä tietoja, mikä johtaa vikaantumiseen. Tämä virhe esitetään julkaisussa CVE-2016-9147. [RT # 43548]
  • Nimi on yrittänyt väärin yrittää välittää TKEY-tietueita, jotka saattavat laukaista oletuksen epäonnistumisen, kun luokassa ei ollut yhteensopivuutta. Tämä virhe on esitetty julkaisussa CVE-2016-9131. [RT # 43522]
  • Vastetta käsiteltäessä oli mahdollista esittää väitteitä. Tämä virhe on kuvattu julkaisussa CVE-2016-8864. [RT # 43465]

Uutta versio 9.11.0-P1:

  • Suojauskorjaukset:
  • OPENPGPKEY rdatatype -virheen tarkistus epäonnistui. Tämä virhe on kuvattu julkaisussa CVE-2015-5986. [RT # 40286]
  • Puskurin kirjoitusvirhe voi aiheuttaa virheen määritteleessään virheellisiä DNSSEC-avaimia. Tämä haitta löytyi Hanno Bockilta Fuzzing-projektista, ja se on julkaistu CVE-2015-5722: ssä. [RT # 40212]
  • Erityisesti muotoiltu kysely voi aiheuttaa vikailmoituksen message.c. Jonathan Foote löysi tämän virheen, ja se on kuvattu julkaisussa CVE-2015-5477. [RT # 40046]
  • Palvelimilla, jotka on määritetty suorittamaan DNSSEC-validoinnin, voidaan olettaa, että määritysvika epäonnistui tietyn konfiguroidun palvelimen vastausten varalta. Tämä virhe havaitsi Breno Silveira Soares, ja se on julkaistu CVE-2015-4620: ssa. [RT # 39795]
  • Uudet ominaisuudet:
  • Uusia kiintiöitä on lisätty rajoittamaan rekursiivisten resolvertien lähettämiä kyselyjä valtuutetuille palvelimille, jotka kokevat palvelunestohyökkäyksiä. Kun asetukset on määritetty, nämä vaihtoehdot voivat vähentää arvovaltaisten palvelimien aiheuttamia haittoja ja välttää myös rekursiiveihin kohdistuvat voimavarojen sammuminen, kun niitä käytetään tällaisen hyökkäyksen ajoneuvona. HUOMAUTUS: Nämä vaihtoehdot eivät ole käytettävissä oletuksena; käytä konfiguroida --enable-fetchlimit sisällyttää ne sisäänrakennukseen. + hae-palvelin rajoittaa samanaikaisten kyselyjen määrää, jotka voidaan lähettää mille tahansa arvovaltaiselle palvelimelle. Konfiguroitu arvo on lähtökohta; se säätyy automaattisesti alaspäin, jos palvelin on osittain tai kokonaan vastaamatta. Kiintiön säätämiseen käytetty algoritmi voidaan konfiguroida fetch-quota-params -vaihtoehdon avulla. + haetaan-per-vyöhykkeellä rajoitetaan samanaikaisten kyselyjen määrää, jotka voidaan lähettää yhdelle verkkotunnukselle. (Huomaa: Toisin kuin "hae-palvelimella" tämä arvo ei ole itsetuntuva. Tilastolliset laskurit on myös lisätty seuraamaan näiden kiintiöiden aiheuttamaa kyselyä.
  • dig + ednsflags voidaan nyt käyttää määrittelemään EDNS-lippuja DNS-pyyntöihin.
  • kaivaa + [no] ednsnegotiation voidaan nyt käyttää enable / disable EDNS versio neuvottelu.
  • Käytettävissä on --enable-querytrace configure-kytkin, joka mahdollistaa erittäin verbaalisen kyselyn jäljittelyn. Tämä vaihtoehto voidaan asettaa vain koottaessa. Tällä vaihtoehdolla on negatiivinen vaikutus ja sitä saa käyttää vain vianetsinnässä.
  • Ominaisuuden muutokset:
  • Suurten inline-allekirjoitusten muutosten pitäisi olla vähemmän häiritseviä. Allekirjoituksen generointi tehdään nyt vähitellen; kutakin kvanttimuotoon tuotettavien allekirjoitusten määrää hallitaan "sig-signing-signatures numerolla"; [RT # 37927]
  • Kokeellinen SIT-laajennus käyttää nyt EDNS COOKIE -optio -koodipistettä (10) ja se näkyy nimellä "COOKIE:". Olemassa olevat named.conf -direktiivit; "request-sit", "sit-secret" ja "nosit-udp-size" ovat edelleen voimassa, ja ne korvataan BIND 9.11: ssä "send-cookie", "cookie-secret" ja "nocookie-udp-size" . Nykyinen kaivausdirektiivi "+ sit" on edelleen voimassa ja se korvataan nimellä "+ cookie" BIND 9.11: ssä.
  • Kun yritetään uudelleen kyselyä TCP: n kautta, kun ensimmäinen vastaus on katkaistu, kaivaa lähetetään nyt oikein palvelimen palauttama COOKIE-arvo edelliseen vastaukseen. [RT # 39047]
  • Paikallisen porttisarjan hakeminen verkon.ipv4.ip_local_port_range -ohjelmistosta Linuxissa on nyt tuettu.
  • Gc._msdcs-lomakkeen Active Directory -nimet. hyväksytään nyt kelvollisina nimeäminä, kun käytetään ns. tarkistusnimiä. on edelleen rajoitettu kirjaimiin, numeroihin ja väliviivoihin.
  • Rich Textin sisältävät nimet hyväksytään nykyisin PTR-tietueiksi DNS-SD-käänteisen haun alueilla, kuten RFC 6763: ssa on määritetty. [RT # 37889]
  • Virheiden korjaukset:
  • Asynkronisten vyöhykkeiden kuormituksia ei käsitelty oikein, kun vyöhykkeen kuormitus oli jo käynnissä; tämä voi aiheuttaa kaatumisen zt.c. [RT # 37573]
  • Kilpailu sammutuksen tai uudelleenkonfiguroinnin aikana voi aiheuttaa vikaantumisen mem.c. [RT # 38979]
  • Jotkut vastausmuototavat eivät toimineet oikein kaivaa + lyhyttä. [RT # 39291]
  • Joidenkin tyyppien virheelliset tietueet, kuten NSAP ja UNSPEC, voivat aiheuttaa vikaantumisvirheitä tekstivyöhykkeen tiedostoja ladattaessa. [RT # 40274] [RT # 40285]
  • Kiinnitti ratelimiter.c: n mahdollinen kaatuminen, jonka aiheuttama NOTIFY-viestien poistaminen väärästä nopeudenrajoittimen jonoon. [RT # 40350]
  • Satunnaisen oletusrutiivisarjan epäyhtenäinen soveltaminen. [RT # 40456]
  • Rikollisten arvovaltaisten nimipalvelimien BADVERS-vastauksia ei käsitelty oikein. [RT # 40427]
  • <>RPZ-toteutukseen on määritetty useita vikoja: + Toiminta-alueita, jotka eivät nimenomaisesti vaadi rekursiota, voitaisiin kohdella ikään kuin ne tekivät; näin ollen qname-wait-recurse no; oli joskus tehoton. Tämä on korjattu. Useimmissa kokoonpanoissa tämän korjauksen aiheuttamat käyttäytymismuutokset eivät ole havaittavissa. [RT # 39229] + Palvelin saattaa kaatua, jos päivitysvyöhykkeet päivittyvät (esim. Rndc reload tai saapuva vyöhyke siirto), kun taas RPZ-käsittely jatkuu aktiivisen kyselyn aikana. [RT # 39415] + Jos palvelimilla on yksi tai useampia käytäntöjä, jotka on määritetty orjiksi, jos toimintokohta päivitetään säännöllisen käytön aikana (eikä käynnistyksen yhteydessä) täyden vyöhykkeen uudelleenlatauksen, kuten AXFR: n kautta, virhe saattaa antaa RPZ-yhteenvedon dataa ei synkronoida, mikä voi johtaa vikaantumiseen rpz.c: ssä, kun vyöhykkeeseen lisättiin lisää inkrementaalisia päivityksiä, kuten IXFR: n kautta. [RT # 39567] + Palvelin voisi vastata lyhyempää etuliitettä kuin CLIENT-IP-käytäntöjen laukaisijoissa, joten odottamatonta toimenpidettä voitaisiin käyttää. Tämä on korjattu. [RT # 39481] + Palvelin saattaa kaatua, jos RPZ-vyöhykkeen uudelleenlataus aloitetaan samalla kun toisen alueen uudelleenlataus oli jo käynnissä.

    [RT # 39649] + Kyselyn nimet voisivat vastata väärällä vyöhykkeellä, jos jokerimerkkejä esiintyy. [RT # 40357]

Uutta versio 9.11.0:

  • Suojauskorjaukset:
  • OPENPGPKEY rdatatype -virheen tarkistus epäonnistui. Tämä virhe on kuvattu julkaisussa CVE-2015-5986. [RT # 40286]
  • Puskurin kirjoitusvirhe voi aiheuttaa virheen määritteleessään virheellisiä DNSSEC-avaimia. Tämä haitta löytyi Hanno Bockilta Fuzzing-projektista, ja se on julkaistu CVE-2015-5722: ssä. [RT # 40212]
  • Erityisesti muotoiltu kysely voi aiheuttaa vikailmoituksen message.c. Jonathan Foote löysi tämän virheen, ja se on kuvattu julkaisussa CVE-2015-5477. [RT # 40046]
  • Palvelimilla, jotka on määritetty suorittamaan DNSSEC-validoinnin, voidaan olettaa, että määritysvika epäonnistui tietyn konfiguroidun palvelimen vastausten varalta. Tämä virhe havaitsi Breno Silveira Soares, ja se on julkaistu CVE-2015-4620: ssa. [RT # 39795]
  • Uudet ominaisuudet:
  • Uusia kiintiöitä on lisätty rajoittamaan rekursiivisten resolvertien lähettämiä kyselyjä valtuutetuille palvelimille, jotka kokevat palvelunestohyökkäyksiä. Kun asetukset on määritetty, nämä vaihtoehdot voivat vähentää arvovaltaisten palvelimien aiheuttamia haittoja ja välttää myös rekursiiveihin kohdistuvat voimavarojen sammuminen, kun niitä käytetään tällaisen hyökkäyksen ajoneuvona. HUOMAUTUS: Nämä vaihtoehdot eivät ole käytettävissä oletuksena; käytä konfiguroida --enable-fetchlimit sisällyttää ne sisäänrakennukseen. + hae-palvelin rajoittaa samanaikaisten kyselyjen määrää, jotka voidaan lähettää mille tahansa arvovaltaiselle palvelimelle. Konfiguroitu arvo on lähtökohta; se säätyy automaattisesti alaspäin, jos palvelin on osittain tai kokonaan vastaamatta. Kiintiön säätämiseen käytetty algoritmi voidaan konfiguroida fetch-quota-params -vaihtoehdon avulla. + haetaan-per-vyöhykkeellä rajoitetaan samanaikaisten kyselyjen määrää, jotka voidaan lähettää yhdelle verkkotunnukselle. (Huomaa: Toisin kuin "hae-palvelimella", tämä arvo ei ole itsetuntuva. Tilastolliset laskurit on myös lisätty seuraamaan näiden kiintiöiden aiheuttamaa kyselyä.
  • dig + ednsflags voidaan nyt käyttää määrittelemään EDNS-lippuja DNS-pyyntöihin.
  • kaivaa + [no] ednsnegotiation voidaan nyt käyttää enable / disable EDNS versio neuvottelu.
  • Käytettävissä on --enable-querytrace configure-kytkin, joka mahdollistaa erittäin verbaalisen kyselyn jäljittelyn. Tämä vaihtoehto voidaan asettaa vain koottaessa. Tällä vaihtoehdolla on negatiivinen vaikutus ja sitä saa käyttää vain vianetsinnässä.
  • Ominaisuuden muutokset:
  • Suurten inline-allekirjoitusten muutosten pitäisi olla vähemmän häiritseviä. Allekirjoituksen generointi tehdään nyt vähitellen; kutakin kvanttimuotoon tuotettavien allekirjoitusten määrää hallitaan "sig-signing-signatures numerolla"; [RT # 37927]
  • Kokeellinen SIT-laajennus käyttää nyt EDNS COOKIE -optio -koodipistettä (10) ja se näkyy nimellä "COOKIE:". Olemassa olevat named.conf -direktiivit; "request-sit", "sit-secret" ja "nosit-udp-size" ovat edelleen voimassa, ja ne korvataan BIND 9.11: ssä "send-cookie", "cookie-secret" ja "nocookie-udp-size" . Nykyinen kaivausdirektiivi "+ sit" on edelleen voimassa ja se korvataan nimellä "+ cookie" BIND 9.11: ssä.
  • Kun yritetään uudelleen kyselyä TCP: n kautta, kun ensimmäinen vastaus on katkaistu, kaivaa lähetetään nyt oikein palvelimen palauttama COOKIE-arvo edelliseen vastaukseen. [RT # 39047]
  • Paikallisen porttisarjan hakeminen verkon.ipv4.ip_local_port_range -ohjelmistosta Linuxissa on nyt tuettu.
  • Gc._msdcs-lomakkeen Active Directory -nimet. hyväksytään nyt kelvollisina nimeäminä, kun käytetään ns. tarkistusnimiä. on edelleen rajoitettu kirjaimiin, numeroihin ja väliviivoihin.
  • Rich Textin sisältävät nimet hyväksytään nykyisin PTR-tietueiksi DNS-SD-käänteisen haun alueilla, kuten RFC 6763: ssa on määritetty. [RT # 37889]
  • Virheiden korjaukset:
  • Asynkronisten vyöhykkeiden kuormituksia ei käsitelty oikein, kun vyöhykkeen kuormitus oli jo käynnissä; tämä voi aiheuttaa kaatumisen zt.c. [RT # 37573]
  • Kilpailu sammutuksen tai uudelleenkonfiguroinnin aikana voi aiheuttaa vikaantumisen mem.c. [RT # 38979]
  • Jotkut vastausmuototavat eivät toimineet oikein kaivaa + lyhyttä. [RT # 39291]
  • Joidenkin tyyppien virheelliset tietueet, kuten NSAP ja UNSPEC, voivat aiheuttaa vikaantumisvirheitä tekstivyöhykkeen tiedostoja ladattaessa. [RT # 40274] [RT # 40285]
  • Kiinnitti ratelimiter.c: n mahdollinen kaatuminen, jonka aiheuttama NOTIFY-viestien poistaminen väärästä nopeudenrajoittimen jonoon. [RT # 40350]
  • Satunnaisen oletusrutiivisarjan epäyhtenäinen soveltaminen. [RT # 40456]
  • Rikollisten arvovaltaisten nimipalvelimien BADVERS-vastauksia ei käsitelty oikein. [RT # 40427]
  • <>RPZ-toteutukseen on määritetty useita vikoja: + Toiminta-alueita, jotka eivät nimenomaisesti vaadi rekursiota, voitaisiin kohdella ikään kuin ne tekivät; näin ollen qname-wait-recurse no; oli joskus tehoton. Tämä on korjattu. Useimmissa kokoonpanoissa tämän korjauksen aiheuttamat käyttäytymismuutokset eivät ole havaittavissa. [RT # 39229] + Palvelin saattaa kaatua, jos päivitysvyöhykkeet päivittyvät (esim. Rndc reload tai saapuva vyöhyke siirto), kun taas RPZ-käsittely jatkuu aktiivisen kyselyn aikana. [RT # 39415] + Jos palvelimilla on yksi tai useampia käytäntöjä, jotka on määritetty orjiksi, jos toimintokohta päivitetään säännöllisen käytön aikana (eikä käynnistyksen yhteydessä) täyden vyöhykkeen uudelleenlatauksen, kuten AXFR: n kautta, virhe saattaa antaa RPZ-yhteenvedon dataa ei synkronoida, mikä voi johtaa vikaantumiseen rpz.c: ssä, kun vyöhykkeeseen lisättiin lisää inkrementaalisia päivityksiä, kuten IXFR: n kautta. [RT # 39567] + Palvelin voisi vastata lyhyempää etuliitettä kuin CLIENT-IP-käytäntöjen laukaisijoissa, joten odottamatonta toimenpidettä voitaisiin käyttää. Tämä on korjattu. [RT # 39481] + Palvelin saattaa kaatua, jos RPZ-vyöhykkeen uudelleenlataus aloitetaan samalla kun toisen alueen uudelleenlataus oli jo käynnissä.

    [RT # 39649] + Kyselyn nimet voisivat vastata väärällä vyöhykkeellä, jos jokerimerkkejä esiintyy. [RT # 40357]

Uutta versio 9.10.4-P3:

  • Suojauskorjaukset:
  • OPENPGPKEY rdatatype -virheen tarkistus epäonnistui. Tämä virhe on kuvattu julkaisussa CVE-2015-5986. [RT # 40286]
  • Puskurin kirjoitusvirhe voi aiheuttaa virheen määritteleessään virheellisiä DNSSEC-avaimia. Tämä haitta löytyi Hanno Bockilta Fuzzing-projektista, ja se on julkaistu CVE-2015-5722: ssä. [RT # 40212]
  • Erityisesti muotoiltu kysely voi aiheuttaa vikailmoituksen message.c. Jonathan Foote löysi tämän virheen, ja se on kuvattu julkaisussa CVE-2015-5477. [RT # 40046]
  • Palvelimilla, jotka on määritetty suorittamaan DNSSEC-validoinnin, voidaan olettaa, että määritysvika epäonnistui tietyn konfiguroidun palvelimen vastausten varalta. Tämä virhe havaitsi Breno Silveira Soares, ja se on julkaistu CVE-2015-4620: ssa. [RT # 39795]
  • Uudet ominaisuudet:
  • Uusia kiintiöitä on lisätty rajoittamaan rekursiivisten resolvertien lähettämiä kyselyjä valtuutetuille palvelimille, jotka kokevat palvelunestohyökkäyksiä. Kun asetukset on määritetty, nämä vaihtoehdot voivat vähentää arvovaltaisten palvelimien aiheuttamia haittoja ja välttää myös rekursiiveihin kohdistuvat voimavarojen sammuminen, kun niitä käytetään tällaisen hyökkäyksen ajoneuvona. HUOMAUTUS: Nämä vaihtoehdot eivät ole käytettävissä oletuksena; käytä konfiguroida --enable-fetchlimit sisällyttää ne sisäänrakennukseen. + hae-palvelin rajoittaa samanaikaisten kyselyjen määrää, jotka voidaan lähettää mille tahansa arvovaltaiselle palvelimelle. Konfiguroitu arvo on lähtökohta; se säätyy automaattisesti alaspäin, jos palvelin on osittain tai kokonaan vastaamatta. Kiintiön säätämiseen käytetty algoritmi voidaan konfiguroida fetch-quota-params -vaihtoehdon avulla. + haetaan-per-vyöhykkeellä rajoitetaan samanaikaisten kyselyjen määrää, jotka voidaan lähettää yhdelle verkkotunnukselle. (Huomaa: Toisin kuin "hae-palvelimella", tämä arvo ei ole itsetuntuva. Tilastolliset laskurit on myös lisätty seuraamaan näiden kiintiöiden aiheuttamaa kyselyä.
  • dig + ednsflags voidaan nyt käyttää määrittelemään EDNS-lippuja DNS-pyyntöihin.
  • kaivaa + [no] ednsnegotiation voidaan nyt käyttää enable / disable EDNS versio neuvottelu.
  • Käytettävissä on --enable-querytrace configure-kytkin, joka mahdollistaa erittäin verbaalisen kyselyn jäljittelyn. Tämä vaihtoehto voidaan asettaa vain koottaessa. Tällä vaihtoehdolla on negatiivinen vaikutus ja sitä saa käyttää vain vianetsinnässä.
  • Ominaisuuden muutokset:
  • Suurten inline-allekirjoitusten muutosten pitäisi olla vähemmän häiritseviä. Allekirjoituksen generointi tehdään nyt vähitellen; kutakin kvanttimuotoon tuotettavien allekirjoitusten määrää hallitaan "sig-signing-signatures numerolla"; [RT # 37927]
  • Kokeellinen SIT-laajennus käyttää nyt EDNS COOKIE -optio -koodipistettä (10) ja se näkyy nimellä "COOKIE:". Olemassa olevat named.conf -direktiivit; "request-sit", "sit-secret" ja "nosit-udp-size" ovat edelleen voimassa, ja ne korvataan BIND 9.11: ssä "send-cookie", "cookie-secret" ja "nocookie-udp-size" . Nykyinen kaivausdirektiivi "+ sit" on edelleen voimassa ja se korvataan nimellä "+ cookie" BIND 9.11: ssä.
  • Kun yritetään uudelleen kyselyä TCP: n kautta, kun ensimmäinen vastaus on katkaistu, kaivaa lähetetään nyt oikein palvelimen palauttama COOKIE-arvo edelliseen vastaukseen. [RT # 39047]
  • Paikallisen porttisarjan hakeminen verkon.ipv4.ip_local_port_range -ohjelmistosta Linuxissa on nyt tuettu.
  • Gc._msdcs-lomakkeen Active Directory -nimet. hyväksytään nyt kelvollisina nimeäminä, kun käytetään ns. tarkistusnimiä. on edelleen rajoitettu kirjaimiin, numeroihin ja väliviivoihin.
  • Rich Textin sisältävät nimet hyväksytään nykyisin PTR-tietueiksi DNS-SD-käänteisen haun alueilla, kuten RFC 6763: ssa on määritetty. [RT # 37889]
  • Virheiden korjaukset:
  • Asynkronisten vyöhykkeiden kuormituksia ei käsitelty oikein, kun vyöhykkeen kuormitus oli jo käynnissä; tämä voi aiheuttaa kaatumisen zt.c. [RT # 37573]
  • Kilpailu sammutuksen tai uudelleenkonfiguroinnin aikana voi aiheuttaa vikaantumisen mem.c. [RT # 38979]
  • Jotkut vastausmuototavat eivät toimineet oikein kaivaa + lyhyttä. [RT # 39291]
  • Joidenkin tyyppien virheelliset tietueet, kuten NSAP ja UNSPEC, voivat aiheuttaa vikaantumisvirheitä tekstivyöhykkeen tiedostoja ladattaessa. [RT # 40274] [RT # 40285]
  • Kiinnitti ratelimiter.c: n mahdollinen kaatuminen, jonka aiheuttama NOTIFY-viestien poistaminen väärästä nopeudenrajoittimen jonoon. [RT # 40350]
  • Satunnaisen oletusrutiivisarjan epäyhtenäinen soveltaminen. [RT # 40456]
  • Rikollisten arvovaltaisten nimipalvelimien BADVERS-vastauksia ei käsitelty oikein. [RT # 40427]
  • <>RPZ-toteutukseen on määritetty useita vikoja: + Toiminta-alueita, jotka eivät nimenomaisesti vaadi rekursiota, voitaisiin kohdella ikään kuin ne tekivät; näin ollen qname-wait-recurse no; oli joskus tehoton. Tämä on korjattu. Useimmissa kokoonpanoissa tämän korjauksen aiheuttamat käyttäytymismuutokset eivät ole havaittavissa. [RT # 39229] + Palvelin saattaa kaatua, jos päivitysvyöhykkeet päivittyvät (esim. Rndc reload tai saapuva vyöhyke siirto), kun taas RPZ-käsittely jatkuu aktiivisen kyselyn aikana. [RT # 39415] + Jos palvelimilla on yksi tai useampia käytäntöjä, jotka on määritetty orjiksi, jos toimintokohta päivitetään säännöllisen käytön aikana (eikä käynnistyksen yhteydessä) täyden vyöhykkeen uudelleenlatauksen, kuten AXFR: n kautta, virhe saattaa antaa RPZ-yhteenvedon dataa ei synkronoida, mikä voi johtaa vikaantumiseen rpz.c: ssä, kun vyöhykkeeseen lisättiin lisää inkrementaalisia päivityksiä, kuten IXFR: n kautta. [RT # 39567] + Palvelin voisi vastata lyhyempää etuliitettä kuin CLIENT-IP-käytäntöjen laukaisijoissa, joten odottamatonta toimenpidettä voitaisiin käyttää. Tämä on korjattu. [RT # 39481] + Palvelin saattaa kaatua, jos RPZ-vyöhykkeen uudelleenlataus aloitetaan samalla kun toisen alueen uudelleenlataus oli jo käynnissä.[RT # 39649] + Kyselyn nimet voisivat vastata väärää vyöhykettä, jos jokerimerkkejä esiintyy. [RT # 40357]

Vastaavia ohjelmistoja

OpenNetAdmin
OpenNetAdmin

12 May 15

xbaydns
xbaydns

3 Jun 15

DNS.py
DNS.py

2 Jun 15

DynDNS
DynDNS

3 Jun 15

Kommentit BIND

Kommentteja ei löytynyt
Lisää kommentti
Ota kuvia!