BIND

BIND (שם תחום אינטרנט של ברקלי) היא תוכנת UNIX של שורת פקודה המפיצה יישום קוד פתוח של פרוטוקולי System Domain Name (DNS). הוא מורכב מספריית פותר, שרת / daemon בשם 'שם', וכן כלי תוכנה לבדיקת ולאמת הפעולה התקינה של שרתי ה- DNS.

במקור נכתב באוניברסיטת קליפורניה בברקלי, BIND הוחתם על ידי ארגונים רבים, כולל סאן מיקרוסיסטמס, HP, Compaq, יבמ, סיליקון גראפיס, רשת Associates, סוכנות ההגנה האמריקנית למערכות מידע, USENIX Association, Process Software Corporation, Nominum, ו Stichting NLNet & ndash; קרן NLNet.

כאמור, BIND כולל את שם שרת מערכת שמות, שם תחום מערכת fixver ספריה וכלי תוכנה לבדיקת שרתים. בעוד יישום שרת ה- DNS אחראי על מענה על כל השאלות שהתקבלו על ידי שימוש בכללים שנקבעו בתקני פרוטוקול DNS הרשמי, ספריית 'פתרון ה- DNS' פותרת שאלות לגבי שמות דומיינים.

מערכות הפעלה נתמכות

BIND תוכנן במיוחד עבור פלטפורמת גנו / לינוקס והוא אמור לעבוד היטב עם כל הפצה של לינוקס, כולל דביאן, אובונטו, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, ג'נטו, OpenSUSE, Mageia, ורבים אחרים. הוא תומך הן 32-bit ו 64 סיביות להגדיר ארכיטקטורות.

הפרוייקט מחולק ככדור יחיד אוניברסלי הכולל את קוד המקור של BIND ומאפשר למשתמשים לבצע אופטימיזציה של התוכנה לפלטפורמת החומרה ולמערכת ההפעלה שלהם (ראה לעיל עבור מערכות הפעלה וארכיטקטורות נתמכות).

מה חדש במהדורה זו:

• שגיאת קידוד בתכונה nxdomain-redirect עלולה להוביל לכשל בתצהיר אם מרחב השמות של ההפניה הוגש ממקור נתונים מקומי סמכותי כגון אזור מקומי או קובץ DLZ במקום באמצעות בדיקה רקורסיבית. פגם זה הוא גילה ב CVE-2016-9778. [RT # 43837]
• שם משתמש עלול להטיל קבלות על סעיפים של הרשאות שחסרו ב- RRSIGs המפעילות כשל בטענה. פגם זה נחשף ב- CVE-2016-9444. [RT # 43632]
• שם התנהג בצורה מטושטשת כמה תגובות כאשר רשומות RRSIG מוחזרות ללא הנתונים המבוקשים וכתוצאה מכך נכשל כישלון. פגם זה נחשף ב- CVE-2016-9147. [RT # 43548]
• שם השמות ניסה באופן שגוי לאחסן רשומות TKEY במטמון, דבר שעלול לגרום לכשל בתביעה כאשר קיימת אי-התאמה בין מחלקות. פגם זה מתגלה ב- CVE-2016-9131. [RT # 43522]
• ניתן היה להפעיל קביעות בעת עיבוד תגובה. פגם זה הוא גילה ב CVE-2016-8864. [RT # 43465]

מה חדש בגירסה 9.11.2:

• שגיאת קידוד בתכונה nxdomain-redirect עלולה להוביל לכשל בתצהיר אם מרחב השמות של ההפניה הוגש ממקור נתונים מקומי סמכותי כגון אזור מקומי או קובץ DLZ במקום באמצעות בדיקה רקורסיבית. פגם זה הוא גילה ב CVE-2016-9778. [RT # 43837]
• שם משתמש עלול להטיל קבלות על סעיפים של הרשאות שחסרו ב- RRSIGs המפעילות כשל בטענה. פגם זה נחשף ב- CVE-2016-9444. [RT # 43632]
• שם התנהג בצורה מטושטשת כמה תגובות כאשר רשומות RRSIG מוחזרות ללא הנתונים המבוקשים וכתוצאה מכך נכשל כישלון. פגם זה נחשף ב- CVE-2016-9147. [RT # 43548]
• שם השמות ניסה באופן שגוי לאחסן רשומות TKEY במטמון, דבר שעלול לגרום לכשל בתביעה כאשר קיימת אי-התאמה בין מחלקות. פגם זה מתגלה ב- CVE-2016-9131. [RT # 43522]
• ניתן היה להפעיל קביעות בעת עיבוד תגובה. פגם זה הוא גילה ב CVE-2016-8864. [RT # 43465]

מה חדש בגירסה 9.11.1-P3:

• שגיאת קידוד בתכונה nxdomain-redirect עלולה להוביל לכשל בתצהיר אם מרחב השמות של ההפניה הוגש ממקור נתונים מקומי סמכותי כגון אזור מקומי או קובץ DLZ במקום באמצעות בדיקה רקורסיבית. פגם זה הוא גילה ב CVE-2016-9778. [RT # 43837]
• שם משתמש עלול להטיל קבלות על סעיפים של הרשאות שחסרו ב- RRSIGs המפעילות כשל בטענה. פגם זה נחשף ב- CVE-2016-9444. [RT # 43632]
• שם התנהג בצורה מטושטשת כמה תגובות כאשר רשומות RRSIG מוחזרות ללא הנתונים המבוקשים וכתוצאה מכך נכשל כישלון. פגם זה נחשף ב- CVE-2016-9147. [RT # 43548]
• שם השמות ניסה באופן שגוי לאחסן רשומות TKEY במטמון, דבר שעלול לגרום לכשל בתביעה כאשר קיימת אי-התאמה בין מחלקות. פגם זה מתגלה ב- CVE-2016-9131. [RT # 43522]
• ניתן היה להפעיל קביעות בעת עיבוד תגובה. פגם זה הוא גילה ב CVE-2016-8864. [RT # 43465]

מה חדש בגירסה 9.11.1-P1:

• שגיאת קידוד בתכונה nxdomain-redirect עלולה להוביל לכשל בתצהיר אם מרחב השמות של ההפניה הוגש ממקור נתונים מקומי סמכותי כגון אזור מקומי או קובץ DLZ במקום באמצעות בדיקה רקורסיבית. פגם זה הוא גילה ב CVE-2016-9778. [RT # 43837]
• שם משתמש עלול להטיל קבלות על סעיפים של הרשאות שחסרו ב- RRSIGs המפעילות כשל בטענה. פגם זה נחשף ב- CVE-2016-9444. [RT # 43632]
• שם התנהג בצורה מטושטשת כמה תגובות כאשר רשומות RRSIG מוחזרות ללא הנתונים המבוקשים וכתוצאה מכך נכשל כישלון. פגם זה נחשף ב- CVE-2016-9147. [RT # 43548]
• שם השמות ניסה באופן שגוי לאחסן רשומות TKEY במטמון, דבר שעלול לגרום לכשל בתביעה כאשר קיימת אי-התאמה בין מחלקות. פגם זה מתגלה ב- CVE-2016-9131. [RT # 43522]
• ניתן היה להפעיל קביעות בעת עיבוד תגובה. פגם זה הוא גילה ב CVE-2016-8864. [RT # 43465]

מה חדש בגירסה 9.11.1:

• שגיאת קידוד בתכונה nxdomain-redirect עלולה להוביל לכשל בתצהיר אם מרחב השמות של ההפניה הוגש ממקור נתונים מקומי סמכותי כגון אזור מקומי או קובץ DLZ במקום באמצעות בדיקה רקורסיבית. פגם זה הוא גילה ב CVE-2016-9778. [RT # 43837]
• שם משתמש עלול להטיל קבלות על סעיפים של הרשאות שחסרו ב- RRSIGs המפעילות כשל בטענה. פגם זה נחשף ב- CVE-2016-9444. [RT # 43632]
• שם התנהג בצורה מטושטשת כמה תגובות כאשר רשומות RRSIG מוחזרות ללא הנתונים המבוקשים וכתוצאה מכך נכשל כישלון. פגם זה נחשף ב- CVE-2016-9147. [RT # 43548]
• שם השמות ניסה באופן שגוי לאחסן רשומות TKEY במטמון, דבר שעלול לגרום לכשל בתביעה כאשר קיימת אי-התאמה בין מחלקות. פגם זה מתגלה ב- CVE-2016-9131. [RT # 43522]
• ניתן היה להפעיל קביעות בעת עיבוד תגובה. פגם זה הוא גילה ב CVE-2016-8864. [RT # 43465]

מה חדש בגירסה 9.11.0-P2:

• שגיאת קידוד בתכונת הניתוב מחדש של nxdomain עלולה להוביל לכשל בטענה אם מרחב השמות של ההפניה הוגש ממקור נתונים מקומי סמכותי כגון אזור מקומי או קובץ DLZ במקום באמצעות בדיקה רקורסיבית. פגם זה הוא גילה ב CVE-2016-9778. [RT # 43837]
• שם משתמש עלול להטיל קבלות על סעיפים של הרשאות שחסרו ב- RRSIGs המפעילות כשל בטענה. פגם זה נחשף ב- CVE-2016-9444. [RT # 43632]
• שם התנהג בצורה מטושטשת כמה תגובות כאשר רשומות RRSIG מוחזרות ללא הנתונים המבוקשים וכתוצאה מכך נכשל כישלון. פגם זה נחשף ב- CVE-2016-9147. [RT # 43548]
• שם השמות ניסה באופן שגוי לאחסן רשומות TKEY במטמון, דבר שעלול לגרום לכשל בתביעה כאשר קיימת אי-התאמה בין מחלקות. פגם זה מתגלה ב- CVE-2016-9131. [RT # 43522]
• ניתן היה להפעיל קביעות בעת עיבוד תגובה. פגם זה הוא גילה ב CVE-2016-8864. [RT # 43465]

מה חדש בגירסה 9.11.0-P1:

• תיקוני אבטחה:
• בדיקת גבול שגוי ברדטייפ OPENPGPKEY עלולה לגרום לכשל בתצהיר. פגם זה מתגלה CVE-2015-5986. [RT # 40286]
• שגיאת חשבונאות של מאגר יכולה לגרום לכשל בתצהיר בעת ניתוח מפתחות DNSSEC מסוימים פגומים. פגם זה התגלה על ידי האנו בוק של פרויקט Fuzzing, והוא גילה ב CVE-2015-5722. [RT # 40212]
• שאילתה בעלת מבנה מיוחד עלולה לגרום לכשל בטענה ב- message.c. פגם זה התגלה על ידי ג 'ונתן Fo, והוא גילה ב CVE-2015-5477. [RT # 40046]
• בשרתים המוגדרים לביצוע אימות DNSSEC, ניתן להפעיל כשל בתצורה על תשובות משרת שהוגדר במיוחד. פגם זה התגלה על ידי ברנו Silveira Soares, והוא גילה ב CVE-2015-4620. [RT # 39795]
• תכונות חדשות:
• נוספו מכסות חדשות כדי להגביל את השאילתות שנשלחו על ידי פותרנים רקורסיביים לשרתי סמכות החווים התקפות מסוג מניעת שירות. כאשר מוגדר, אפשרויות אלה יכולים גם להפחית את הנזק שנגרם לשרתי סמכותי וגם למנוע את התשישות משאב זה יכול להיות מנוסים על ידי רקורסיבים כאשר הם משמשים ככלי להתקפה כזו. הערה: אפשרויות אלה אינן זמינות כברירת מחדל; להשתמש להגדיר --enable-fetchlimit לכלול אותם לבנות. + אחזור לכל שרת מגביל את מספר שאילתות בו זמנית שניתן לשלוח לכל שרת סמכותי אחד. הערך המוגדר הוא נקודת התחלה; הוא מותאם אוטומטית כלפי מטה אם השרת הוא חלקית או לחלוטין לא מגיבים. ניתן להגדיר את האלגוריתם המשמש להתאמת המכסה באמצעות האפשרות fetch-quota-params. + אחזור לכל אזור מגביל את מספר שאילתות בו זמנית שניתן לשלוח עבור שמות בתוך תחום אחד. (הערה: בניגוד ל "Fetches-per-server", ערך זה אינו מכוון את עצמו). מונים סטטיסטיים נוספו גם כדי לעקוב אחר מספר השאילתות המושפעות ממכסות אלה.
• dig + ednsflags יכול לשמש כעת להגדרת דגלים של EDNS מוגדרים מראש בבקשות DNS.
• לחפור + [no] ednsnegotiation ניתן כעת לאפשר / להשבית משא ומתן גרסה EDNS.
• מתג תצורה של Enable-querytrace זמין כעת כדי לאפשר מעקב אחר שאילתות מילוליים. ניתן להגדיר אפשרות זו רק בזמן ההידור. לאפשרות זו יש השפעה שלילית על הביצועים ויש להשתמש בה רק עבור איתור באגים.
• הצג שינויים:
• שינויים גדולים בחתימה מוטבעת צריכים להיות פחות משבשים. דור חתימה נעשה כעת בהדרגה; מספר החתימות שיווצרו בכל קוואנטום נשלט על ידי מספר חתימות sig-sign; [RT # 37927]
• תוסף SIT הניסיוני משתמש כעת בנקודת קוד האופציה EDNS COOKIE (10) ומוצג כ "COOKIE:". ההנחיות הנ"ל. "request-sit", "sit-secret" ו- "nosit-udp-size", עדיין תקפים ויוחלפו "Send-cookie", "cookie-secret" ו- "nocookie-udp-size" ב- BIND 9.11 . ההנחיה הקיימת לחפירה "+ sit" עדיין תקפה ותוחלף ב "+ cookie" ב- BIND 9.11.
• בעת ניסיון חוזר של שאילתה באמצעות TCP, מכיוון שהתשובה הראשונה נחתכת, חפירה תשלח כעת את ערך ה- COOKIE שהוחזר על-ידי השרת בתגובה הקודמת. [RT # 39047]
• נתמך כעת אחזור טווח היציאות המקומי מ- net.ipv4.ip_local_port_range ב- Linux.
• שמות Active Directory של הטופס gc._msdcs. מתקבלים כעת כשמות מארח חוקיים בעת שימוש באפשרות שמות הסימון. עדיין מוגבל למכתבים, ספרות ומקפים.
• שמות המכילים טקסט עשיר מתקבלים כעת כשמות מארח חוקיים ברשומות PTR באזורי בדיקה לאחור של DNS-SD, כמפורט ב- RFC 6763. [RT # 37889]
• תיקוני באגים:
• עומסי אזור אסינכרוני לא טופלו כראוי כאשר עומס האזור כבר נמצא בתהליך; פעולה זו עלולה לגרום לקריסה ב- zt.c. [RT # 37573]
• מרוץ במהלך כיבוי או שינוי תצורה עלול לגרום לכשל בטענה ב- mem.c. [RT # 38979]
• כמה אפשרויות עיצוב תשובה לא פעלו כראוי עם dig + short. [RT # 39291]
• רשומות בעלות מבנה פגום של סוגים מסוימים, כולל NSAP ו- UNSPEC, עלולות לגרום לכשלים בטענה בעת טעינת קבצי אזור טקסט. [RT # 40274] [RT # 40285]
• תוקן התרסקות אפשרית ב- ratelimiter.c הנגרמת על ידי הודעות NOTIFY המוסרות מתור מגביל קצב שגוי. [RT # 40350]
• ברירת המחדל של סדר אקראי של אקראיות הופעלה באופן לא עקבי. [RT # 40456]
• התגובות של BADVERS משרתי שמות שבורים של שמות לא טופלו כראוי. [RT # 40427]
• מספר באגים תוקנו ביישום RPZ: + אזורי מדיניות שלא דורשים באופן ספציפי רקורסיה יכול להיות מטופל כאילו הם עשו; כתוצאה מכך, הגדרת qname-wait- recurse לא; לפעמים לא היתה יעילה. זה תוקן. ברוב התצורות, שינויים התנהגותיים עקב תיקון זה לא יהיו מורגשים. [RT # 39229] + השרת עלול לקרוס אם יתעדכנו אזורי המדיניות (למשל באמצעות טעינה מחדש של rndc או העברת אזור נכנס) בעוד עיבוד RPZ עדיין נמשך לשאילתה פעילה. [RT # 39415] + בשרתים עם אזור מדיניות אחד או יותר המוגדרים כעבדים, אם אזור מדיניות שעודכן במהלך הפעלה רגילה (ולא בעת ההפעלה) באמצעות טעינה מחדש של אזור מלא, כגון באמצעות AXFR, באג יכול לאפשר סיכום RPZ הנתונים נופלים מסנכרון, דבר שעלול להוביל לכשל בטענה ב- rpz.c כאשר בוצעו עדכונים נוספים נוספים לאזור, כגון באמצעות IXFR. [RT # 39567] + השרת יכול להתאים לקידומת קצרה יותר מזו שהיתה זמינה ב'מדיניות מדיניות לקוח ', ולכן ניתן לנקוט פעולה לא צפויה. זה תוקן. [RT # 39481] + השרת עלול לקרוס אם טעינה מחדש של אזור RPZ היה ביוזמה בעוד עוד טען מחדש של אותו אזור כבר היה בעיצומו.

  [RT # 39649] + שמות שאילתה יכולים להתאים לפי אזור המדיניות הלא נכון אם רשומות כלליים מופיעות. [RT # 40357]

מה חדש בגירסה 9.11.0:

• תיקוני אבטחה:
• בדיקת גבול שגוי ברדטייפ OPENPGPKEY עלולה לגרום לכשל בתצהיר. פגם זה מתגלה CVE-2015-5986. [RT # 40286]
• שגיאת חשבונאות של מאגר יכולה לגרום לכשל בתצהיר בעת ניתוח מפתחות DNSSEC מסוימים פגומים. פגם זה התגלה על ידי האנו בוק של פרויקט Fuzzing, והוא גילה ב CVE-2015-5722. [RT # 40212]
• שאילתה בעלת מבנה מיוחד עלולה לגרום לכשל בטענה ב- message.c. פגם זה התגלה על ידי ג 'ונתן Fo, והוא גילה ב CVE-2015-5477. [RT # 40046]
• בשרתים המוגדרים לביצוע אימות DNSSEC, ניתן להפעיל כשל בתצורה על תשובות משרת שהוגדר במיוחד. פגם זה התגלה על ידי ברנו Silveira Soares, והוא גילה ב CVE-2015-4620. [RT # 39795]
• תכונות חדשות:
• נוספו מכסות חדשות כדי להגביל את השאילתות שנשלחו על ידי פותרנים רקורסיביים לשרתי סמכות החווים התקפות מסוג מניעת שירות. כאשר מוגדר, אפשרויות אלה יכולים גם להפחית את הנזק שנגרם לשרתי סמכותי וגם למנוע את התשישות משאב זה יכול להיות מנוסים על ידי רקורסיבים כאשר הם משמשים ככלי להתקפה כזו. הערה: אפשרויות אלה אינן זמינות כברירת מחדל; להשתמש להגדיר --enable-fetchlimit לכלול אותם לבנות. + אחזור לכל שרת מגביל את מספר שאילתות בו זמנית שניתן לשלוח לכל שרת סמכותי אחד. הערך המוגדר הוא נקודת התחלה; הוא מותאם אוטומטית כלפי מטה אם השרת הוא חלקית או לחלוטין לא מגיבים. ניתן להגדיר את האלגוריתם המשמש להתאמת המכסה באמצעות האפשרות fetch-quota-params. + אחזור לכל אזור מגביל את מספר שאילתות בו זמנית שניתן לשלוח עבור שמות בתוך תחום אחד. (הערה: בניגוד ל "Fetches-per-server", ערך זה אינו מכוון את עצמו). מונים סטטיסטיים נוספו גם כדי לעקוב אחר מספר השאילתות המושפעות ממכסות אלה.
• dig + ednsflags יכול לשמש כעת להגדרת דגלים של EDNS מוגדרים מראש בבקשות DNS.
• לחפור + [no] ednsnegotiation ניתן כעת לאפשר / להשבית משא ומתן גרסה EDNS.
• מתג תצורה של Enable-querytrace זמין כעת כדי לאפשר מעקב אחר שאילתות מילוליים. ניתן להגדיר אפשרות זו רק בזמן ההידור. לאפשרות זו יש השפעה שלילית על הביצועים ויש להשתמש בה רק עבור איתור באגים.
• הצג שינויים:
• שינויים גדולים בחתימה מוטבעת צריכים להיות פחות משבשים. דור חתימה נעשה כעת בהדרגה; מספר החתימות שיווצרו בכל קוואנטום נשלט על ידי מספר חתימות sig-sign; [RT # 37927]
• תוסף SIT הניסיוני משתמש כעת בנקודת קוד האופציה EDNS COOKIE (10) ומוצג כ "COOKIE:". ההנחיות הנ"ל. "request-sit", "sit-secret" ו- "nosit-udp-size", עדיין תקפים ויוחלפו "Send-cookie", "cookie-secret" ו- "nocookie-udp-size" ב- BIND 9.11 . ההנחיה הקיימת לחפירה "+ sit" עדיין תקפה ותוחלף ב "+ cookie" ב- BIND 9.11.
• בעת ניסיון חוזר של שאילתה באמצעות TCP, מכיוון שהתשובה הראשונה נחתכת, חפירה תשלח כעת את ערך ה- COOKIE שהוחזר על-ידי השרת בתגובה הקודמת. [RT # 39047]
• נתמך כעת אחזור טווח היציאות המקומי מ- net.ipv4.ip_local_port_range ב- Linux.
• שמות Active Directory של הטופס gc._msdcs. מתקבלים כעת כשמות מארח חוקיים בעת שימוש באפשרות שמות הסימון. עדיין מוגבל למכתבים, ספרות ומקפים.
• שמות המכילים טקסט עשיר מתקבלים כעת כשמות מארח חוקיים ברשומות PTR באזורי בדיקה לאחור של DNS-SD, כמפורט ב- RFC 6763. [RT # 37889]
• תיקוני באגים:
• עומסי אזור אסינכרוני לא טופלו כראוי כאשר עומס האזור כבר נמצא בתהליך; פעולה זו עלולה לגרום לקריסה ב- zt.c. [RT # 37573]
• מרוץ במהלך כיבוי או שינוי תצורה עלול לגרום לכשל בטענה ב- mem.c. [RT # 38979]
• כמה אפשרויות עיצוב תשובה לא פעלו כראוי עם dig + short. [RT # 39291]
• רשומות בעלות מבנה פגום של סוגים מסוימים, כולל NSAP ו- UNSPEC, עלולות לגרום לכשלים בטענה בעת טעינת קבצי אזור טקסט. [RT # 40274] [RT # 40285]
• תוקן התרסקות אפשרית ב- ratelimiter.c הנגרמת על ידי הודעות NOTIFY המוסרות מתור מגביל קצב שגוי. [RT # 40350]
• ברירת המחדל של סדר אקראי של אקראיות הופעלה באופן לא עקבי. [RT # 40456]
• התגובות של BADVERS משרתי שמות שבורים של שמות לא טופלו כראוי. [RT # 40427]
• מספר באגים תוקנו ביישום RPZ: + אזורי מדיניות שלא דורשים באופן ספציפי רקורסיה יכול להיות מטופל כאילו הם עשו; כתוצאה מכך, הגדרת qname-wait- recurse לא; לפעמים לא היתה יעילה. זה תוקן. ברוב התצורות, שינויים התנהגותיים עקב תיקון זה לא יהיו מורגשים. [RT # 39229] + השרת עלול לקרוס אם יתעדכנו אזורי המדיניות (למשל באמצעות טעינה מחדש של rndc או העברת אזור נכנס) בעוד עיבוד RPZ עדיין נמשך לשאילתה פעילה. [RT # 39415] + בשרתים עם אזור מדיניות אחד או יותר המוגדרים כעבדים, אם אזור מדיניות שעודכן במהלך הפעלה רגילה (ולא בעת ההפעלה) באמצעות טעינה מחדש של אזור מלא, כגון באמצעות AXFR, באג יכול לאפשר סיכום RPZ הנתונים נופלים מסנכרון, דבר שעלול להוביל לכשל בטענה ב- rpz.c כאשר בוצעו עדכונים נוספים נוספים לאזור, כגון באמצעות IXFR. [RT # 39567] + השרת יכול להתאים לקידומת קצרה יותר מזו שהיתה זמינה ב'מדיניות מדיניות לקוח ', ולכן ניתן לנקוט פעולה לא צפויה. זה תוקן. [RT # 39481] + השרת עלול לקרוס אם טעינה מחדש של אזור RPZ היה ביוזמה בעוד עוד טען מחדש של אותו אזור כבר היה בעיצומו.

  [RT # 39649] + שמות שאילתה יכולים להתאים לפי אזור המדיניות הלא נכון אם רשומות כלליים מופיעות. [RT # 40357]

מה חדש בגירסה 9.10.4-P3:

• תיקוני אבטחה:
• בדיקת גבול שגוי ברדטייפ OPENPGPKEY עלולה לגרום לכשל בתצהיר. פגם זה מתגלה CVE-2015-5986. [RT # 40286]
• שגיאת חשבונאות של מאגר יכולה לגרום לכשל בתצהיר בעת ניתוח מפתחות DNSSEC מסוימים פגומים. פגם זה התגלה על ידי האנו בוק של פרויקט Fuzzing, והוא גילה ב CVE-2015-5722. [RT # 40212]
• שאילתה בעלת מבנה מיוחד עלולה לגרום לכשל בטענה ב- message.c. פגם זה התגלה על ידי ג 'ונתן Fo, והוא גילה ב CVE-2015-5477. [RT # 40046]
• בשרתים המוגדרים לביצוע אימות DNSSEC, ניתן להפעיל כשל בתצורה על תשובות משרת שהוגדר במיוחד. פגם זה התגלה על ידי ברנו Silveira Soares, והוא גילה ב CVE-2015-4620. [RT # 39795]
• תכונות חדשות:
• נוספו מכסות חדשות כדי להגביל את השאילתות שנשלחו על ידי פותרנים רקורסיביים לשרתי סמכות החווים התקפות מסוג מניעת שירות. כאשר מוגדר, אפשרויות אלה יכולים גם להפחית את הנזק שנגרם לשרתי סמכותי וגם למנוע את התשישות משאב זה יכול להיות מנוסים על ידי רקורסיבים כאשר הם משמשים ככלי להתקפה כזו. הערה: אפשרויות אלה אינן זמינות כברירת מחדל; להשתמש להגדיר --enable-fetchlimit לכלול אותם לבנות. + אחזור לכל שרת מגביל את מספר שאילתות בו זמנית שניתן לשלוח לכל שרת סמכותי אחד. הערך המוגדר הוא נקודת התחלה; הוא מותאם אוטומטית כלפי מטה אם השרת הוא חלקית או לחלוטין לא מגיבים. ניתן להגדיר את האלגוריתם המשמש להתאמת המכסה באמצעות האפשרות fetch-quota-params. + אחזור לכל אזור מגביל את מספר שאילתות בו זמנית שניתן לשלוח עבור שמות בתוך תחום אחד. (הערה: בניגוד ל "Fetches-per-server", ערך זה אינו מכוון את עצמו). מונים סטטיסטיים נוספו גם כדי לעקוב אחר מספר השאילתות המושפעות ממכסות אלה.
• dig + ednsflags יכול לשמש כעת להגדרת דגלים של EDNS מוגדרים מראש בבקשות DNS.
• לחפור + [no] ednsnegotiation ניתן כעת לאפשר / להשבית משא ומתן גרסה EDNS.
• מתג תצורה של Enable-querytrace זמין כעת כדי לאפשר מעקב אחר שאילתות מילוליים. ניתן להגדיר אפשרות זו רק בזמן ההידור. לאפשרות זו יש השפעה שלילית על הביצועים ויש להשתמש בה רק עבור איתור באגים.
• הצג שינויים:
• שינויים גדולים בחתימה מוטבעת צריכים להיות פחות משבשים. דור חתימה נעשה כעת בהדרגה; מספר החתימות שיווצרו בכל קוואנטום נשלט על ידי מספר חתימות sig-sign; [RT # 37927]
• תוסף SIT הניסיוני משתמש כעת בנקודת קוד האופציה EDNS COOKIE (10) ומוצג כ "COOKIE:". ההנחיות הנ"ל. "request-sit", "sit-secret" ו- "nosit-udp-size", עדיין תקפים ויוחלפו "Send-cookie", "cookie-secret" ו- "nocookie-udp-size" ב- BIND 9.11 . ההנחיה הקיימת לחפירה "+ sit" עדיין תקפה ותוחלף ב "+ cookie" ב- BIND 9.11.
• בעת ניסיון חוזר של שאילתה באמצעות TCP, מכיוון שהתשובה הראשונה נחתכת, חפירה תשלח כעת את ערך ה- COOKIE שהוחזר על-ידי השרת בתגובה הקודמת. [RT # 39047]
• נתמך כעת אחזור טווח היציאות המקומי מ- net.ipv4.ip_local_port_range ב- Linux.
• שמות Active Directory של הטופס gc._msdcs. מתקבלים כעת כשמות מארח חוקיים בעת שימוש באפשרות שמות הסימון. עדיין מוגבל למכתבים, ספרות ומקפים.
• שמות המכילים טקסט עשיר מתקבלים כעת כשמות מארח חוקיים ברשומות PTR באזורי בדיקה לאחור של DNS-SD, כמפורט ב- RFC 6763. [RT # 37889]
• תיקוני באגים:
• עומסי אזור אסינכרוני לא טופלו כראוי כאשר עומס האזור כבר נמצא בתהליך; פעולה זו עלולה לגרום לקריסה ב- zt.c. [RT # 37573]
• מרוץ במהלך כיבוי או שינוי תצורה עלול לגרום לכשל בטענה ב- mem.c. [RT # 38979]
• כמה אפשרויות עיצוב תשובה לא פעלו כראוי עם dig + short. [RT # 39291]
• רשומות בעלות מבנה פגום של סוגים מסוימים, כולל NSAP ו- UNSPEC, עלולות לגרום לכשלים בטענה בעת טעינת קבצי אזור טקסט. [RT # 40274] [RT # 40285]
• תוקן התרסקות אפשרית ב- ratelimiter.c הנגרמת על ידי הודעות NOTIFY המוסרות מתור מגביל קצב שגוי. [RT # 40350]
• ברירת המחדל של סדר אקראי של אקראיות הופעלה באופן לא עקבי. [RT # 40456]
• התגובות של BADVERS משרתי שמות שבורים של שמות לא טופלו כראוי. [RT # 40427]
• מספר באגים תוקנו ביישום RPZ: + אזורי מדיניות שלא דורשים באופן ספציפי רקורסיה יכול להיות מטופל כאילו הם עשו; כתוצאה מכך, הגדרת qname-wait- recurse לא; לפעמים לא היתה יעילה. זה תוקן. ברוב התצורות, שינויים התנהגותיים עקב תיקון זה לא יהיו מורגשים. [RT # 39229] + השרת עלול לקרוס אם יתעדכנו אזורי המדיניות (למשל באמצעות טעינה מחדש של rndc או העברת אזור נכנס) בעוד עיבוד RPZ עדיין נמשך לשאילתה פעילה. [RT # 39415] + בשרתים עם אזור מדיניות אחד או יותר המוגדרים כעבדים, אם אזור מדיניות שעודכן במהלך הפעלה רגילה (ולא בעת ההפעלה) באמצעות טעינה מחדש של אזור מלא, כגון באמצעות AXFR, באג יכול לאפשר סיכום RPZ הנתונים נופלים מסנכרון, דבר שעלול להוביל לכשל בטענה ב- rpz.c כאשר בוצעו עדכונים נוספים נוספים לאזור, כגון באמצעות IXFR. [RT # 39567] + השרת יכול להתאים לקידומת קצרה יותר מזו שהיתה זמינה ב'מדיניות מדיניות לקוח ', ולכן ניתן לנקוט פעולה לא צפויה. זה תוקן. [RT # 39481] + השרת עלול לקרוס אם טעינה מחדש של אזור RPZ היה ביוזמה בעוד עוד טען מחדש של אותו אזור כבר היה בעיצומו.[RT # 39649] + שמות שאילתה יכולים להתאים כנגד אזור המדיניות הלא נכון אם רשומות כלליים נמצאו. [RT # 40357]