BIND (Berkeley Internet Name Domain) ist eine UNIX-Befehlszeilen-Software, die eine Open-Source-Implementierung der DNS-Protokolle (Domain Name System) bereitstellt. Es besteht aus einer Resolver-Bibliothek, einem Server / Daemon namens "named" sowie Software-Tools zum Testen und Überprüfen des ordnungsgemäßen Betriebs der DNS-Server.
Ursprünglich an der University of California in Berkeley geschrieben, wurde BIND von zahlreichen Organisationen unterstützt, darunter Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, US-Verteidigungsinformationssystemagentur, USENIX Association, Process Software Corporation, Nominum, und Stichting NLNet & ndash; NLNet Foundation.
Was ist drin?
Wie bereits erwähnt, besteht BIND aus einem Domain Name System Server, einer Domain Name Resolver Library und Software Tools zum Testen von Servern. Während die DNS-Serverimplementierung für die Beantwortung aller empfangenen Fragen zuständig ist, indem die Regeln verwendet werden, die in den offiziellen DNS-Protokollstandards angegeben sind, löst die DNS-Resolverbibliothek Fragen zu Domänennamen.
Unterstützte Betriebssysteme
BIND wurde speziell für die GNU / Linux-Plattform entwickelt und sollte gut mit jeder Linux-Distribution funktionieren, einschließlich Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, openSUSE, Mageia, und viele andere. Es unterstützt sowohl 32-Bit- als auch 64-Bit-Befehlssatzarchitekturen.
Das Projekt wird als ein einziger, universeller Tarball mit dem Quellcode von BIND verteilt, so dass Benutzer die Software für ihre Hardware-Plattform und ihr Betriebssystem optimieren können (siehe oben für unterstützte Betriebssysteme und Architekturen).
Was ist neu in dieser Version:
- Ein Codierungsfehler in der nxdomain-redirect-Funktion könnte zu einem Assertion-Fehler führen, wenn der Umleitungsnamespace von einer lokalen autorisierenden Datenquelle wie einer lokalen Zone oder einem DLZ statt über rekursives Nachschlagen bedient wurde. Dieser Fehler ist in CVE-2016-9778 offenbart. [RT # 43837]
- Named konnte Autoritätsteile falsch eingeben, denen RRSIGs fehlten, die einen Assertionsfehler auslösten. Dieser Fehler ist in CVE-2016-9444 offenbart. [RT # 43632]
- Ungültige Namen für einige Antworten, bei denen RRSIG-Datensätze ohne die angeforderten Daten zurückgegeben werden, was zu einem Assertion-Fehler führt. Dieser Fehler ist in CVE-2016-9147 offenbart. [RT # 43548]
- Falsch benannt wurde versucht, TKEY-Datensätze zu cachen, die einen Assertionsfehler auslösen könnten, wenn eine Klassenkonflikt nicht vorhanden war. Dieser Fehler ist in CVE-2016-9131 offenbart. [RT # 43522]
- Bei der Verarbeitung einer Antwort war es möglich, Assertionen auszulösen. Dieser Fehler ist in CVE-2016-8864 offenbart. [RT # 43465]
Was ist neu in Version 9.11.2:
- Ein Codierungsfehler in der nxdomain-redirect-Funktion könnte zu einem Assertion-Fehler führen, wenn der Umleitungsnamespace von einer lokalen autorisierenden Datenquelle wie einer lokalen Zone oder einem DLZ statt über rekursives Nachschlagen bedient wurde. Dieser Fehler ist in CVE-2016-9778 offenbart. [RT # 43837]
- Named konnte Autoritätsteile falsch eingeben, denen RRSIGs fehlten, die einen Assertionsfehler auslösten. Dieser Fehler ist in CVE-2016-9444 offenbart. [RT # 43632]
- Ungültige Namen für einige Antworten, bei denen RRSIG-Datensätze ohne die angeforderten Daten zurückgegeben werden, was zu einem Assertion-Fehler führt. Dieser Fehler ist in CVE-2016-9147 offenbart. [RT # 43548]
- Falsch benannt wurde versucht, TKEY-Datensätze zu cachen, die einen Assertionsfehler auslösen könnten, wenn eine Klassenkonflikt nicht vorhanden war. Dieser Fehler ist in CVE-2016-9131 offenbart. [RT # 43522]
- Bei der Verarbeitung einer Antwort war es möglich, Assertionen auszulösen. Dieser Fehler ist in CVE-2016-8864 offenbart. [RT # 43465]
Was ist neu in Version 9.11.1-P3:
- Ein Codierungsfehler in der nxdomain-redirect-Funktion könnte zu einem Assertion-Fehler führen, wenn der Umleitungsnamespace von einer lokalen autorisierenden Datenquelle wie einer lokalen Zone oder einem DLZ statt über rekursives Nachschlagen bedient wurde. Dieser Fehler ist in CVE-2016-9778 offenbart. [RT # 43837]
- Named konnte Autoritätsteile falsch eingeben, denen RRSIGs fehlten, die einen Assertionsfehler auslösten. Dieser Fehler ist in CVE-2016-9444 offenbart. [RT # 43632]
- Ungültige Namen für einige Antworten, bei denen RRSIG-Datensätze ohne die angeforderten Daten zurückgegeben werden, was zu einem Assertion-Fehler führt. Dieser Fehler ist in CVE-2016-9147 offenbart. [RT # 43548]
- Falsch benannt wurde versucht, TKEY-Datensätze zu cachen, die einen Assertionsfehler auslösen könnten, wenn eine Klassenkonflikt nicht vorhanden war. Dieser Fehler ist in CVE-2016-9131 offenbart. [RT # 43522]
- Bei der Verarbeitung einer Antwort war es möglich, Assertionen auszulösen. Dieser Fehler ist in CVE-2016-8864 offenbart. [RT # 43465]
Was ist neu in Version 9.11.1-P1:
- Ein Codierungsfehler in der nxdomain-redirect-Funktion könnte zu einem Assertion-Fehler führen, wenn der Umleitungsnamespace von einer lokalen autorisierenden Datenquelle wie einer lokalen Zone oder einem DLZ statt über rekursives Nachschlagen bedient wurde. Dieser Fehler ist in CVE-2016-9778 offenbart. [RT # 43837]
- Named konnte Autoritätsteile falsch eingeben, denen RRSIGs fehlten, die einen Assertionsfehler auslösten. Dieser Fehler ist in CVE-2016-9444 offenbart. [RT # 43632]
- Ungültige Namen für einige Antworten, bei denen RRSIG-Datensätze ohne die angeforderten Daten zurückgegeben werden, was zu einem Assertion-Fehler führt. Dieser Fehler ist in CVE-2016-9147 offenbart. [RT # 43548]
- Falsch benannt wurde versucht, TKEY-Datensätze zu cachen, die einen Assertionsfehler auslösen könnten, wenn eine Klassenkonflikt nicht vorhanden war. Dieser Fehler ist in CVE-2016-9131 offenbart. [RT # 43522]
- Bei der Verarbeitung einer Antwort war es möglich, Assertionen auszulösen. Dieser Fehler ist in CVE-2016-8864 offenbart. [RT # 43465]
Was ist neu in Version 9.11.1:
- Ein Codierungsfehler in der nxdomain-redirect-Funktion könnte zu einem Assertion-Fehler führen, wenn der Umleitungsnamespace von einer lokalen autorisierenden Datenquelle wie einer lokalen Zone oder einem DLZ statt über rekursives Nachschlagen bedient wurde. Dieser Fehler ist in CVE-2016-9778 offenbart. [RT # 43837]
- Named konnte Autoritätsteile falsch eingeben, denen RRSIGs fehlten, die einen Assertionsfehler auslösten. Dieser Fehler ist in CVE-2016-9444 offenbart. [RT # 43632]
- Ungültige Namen für einige Antworten, bei denen RRSIG-Datensätze ohne die angeforderten Daten zurückgegeben werden, was zu einem Assertion-Fehler führt. Dieser Fehler ist in CVE-2016-9147 offenbart. [RT # 43548]
- Falsch benannt wurde versucht, TKEY-Datensätze zu cachen, die einen Assertionsfehler auslösen könnten, wenn eine Klassenkonflikt nicht vorhanden war. Dieser Fehler ist in CVE-2016-9131 offenbart. [RT # 43522]
- Bei der Verarbeitung einer Antwort war es möglich, Assertionen auszulösen. Dieser Fehler ist in CVE-2016-8864 offenbart. [RT # 43465]
Was ist neu in Version 9.11.0-P2:
- Ein Codierungsfehler in der nxdomain-redirect-Funktion könnte zu einem Assertionsfehler führen, wenn der Umleitungsnamespace von einer lokalen autorisierenden Datenquelle wie einer lokalen Zone oder einem DLZ statt über rekursive Suche bedient wurde. Dieser Fehler ist in CVE-2016-9778 offenbart. [RT # 43837]
- Named konnte Autoritätsteile falsch eingeben, denen RRSIGs fehlten, die einen Assertionsfehler auslösten. Dieser Fehler ist in CVE-2016-9444 offenbart. [RT # 43632]
- Ungültige Namen für einige Antworten, bei denen RRSIG-Datensätze ohne die angeforderten Daten zurückgegeben werden, was zu einem Assertion-Fehler führt. Dieser Fehler ist in CVE-2016-9147 offenbart. [RT # 43548]
- Falsch benannt wurde versucht, TKEY-Datensätze zu cachen, die einen Assertionsfehler auslösen könnten, wenn eine Klassenkonflikt nicht vorhanden war. Dieser Fehler ist in CVE-2016-9131 offenbart. [RT # 43522]
- Bei der Verarbeitung einer Antwort war es möglich, Assertionen auszulösen. Dieser Fehler ist in CVE-2016-8864 offenbart. [RT # 43465]
Was ist neu in Version 9.11.0-P1:
- Sicherheitsupdates:
- Eine falsche Grenzprüfung im OPENPGPKEY-Datentypen könnte einen Assertionsfehler auslösen. Dieser Fehler ist in CVE-2015-5986 offenbart. [RT # 40286]
- Ein Buffer accounting error könnte einen Assertionsfehler beim Analysieren bestimmter ungültiger DNSSEC-Schlüssel auslösen. Dieser Fehler wurde von Hanno Bock des Fuzzing-Projekts entdeckt und ist in CVE-2015-5722 offenbart. [RT # 40212]
- Eine speziell gestaltete Abfrage könnte in message.c einen Assertionsfehler auslösen. Dieser Fehler wurde von Jonathan Foote entdeckt und ist in CVE-2015-5477 offenbart. [RT # 40046]
- Auf Servern, die zur Durchführung der DNSSEC-Validierung konfiguriert sind, konnte bei Antworten von einem speziell konfigurierten Server ein Assertion-Fehler ausgelöst werden. Dieser Fehler wurde von Breno Silveira Soares entdeckt und ist in CVE-2015-4620 offenbart. [RT # 39795]
- Neue Funktionen:
- Es wurden neue Kontingente hinzugefügt, um die Abfragen zu begrenzen, die von rekursiven Resolvern an autoritative Server gesendet werden, bei denen es zu Denial-of-Service-Angriffen kommt. Wenn diese Optionen konfiguriert sind, können sie sowohl den Schaden für autoritative Server reduzieren als auch die Erschöpfung von Ressourcen vermeiden, die von Rekursiven erfahren werden können, wenn sie als Vehikel für einen solchen Angriff verwendet werden. HINWEIS: Diese Optionen sind standardmäßig nicht verfügbar. Verwenden Sie configure --enable-fetchlimit, um sie in den Build aufzunehmen. + Abruf pro Server begrenzt die Anzahl gleichzeitiger Abfragen, die an einen einzelnen autoritativen Server gesendet werden können. Der konfigurierte Wert ist ein Startpunkt; Es wird automatisch nach unten angepasst, wenn der Server teilweise oder vollständig nicht reagiert. Der zur Anpassung des Kontingents verwendete Algorithmus kann über die Option fetch-quota-params konfiguriert werden. + Fetches pro Zone begrenzt die Anzahl gleichzeitiger Abfragen, die für Namen innerhalb einer einzelnen Domäne gesendet werden können. (Hinweis: Im Gegensatz zu "Fetches pro Server" ist dieser Wert keine Selbstoptimierung.) Außerdem wurden Statistikzähler hinzugefügt, um die Anzahl der von diesen Kontingenten betroffenen Abfragen nachzuverfolgen.
- dig + ednsflags können jetzt verwendet werden, um noch festzulegende EDNS-Flags in DNS-Anfragen zu setzen.
- dig + [no] ednsnegotiation kann jetzt verwendet werden, um die EDNS-Versionsverhandlung zu aktivieren / deaktivieren.
- Ein --enable-querytrace configure-Schalter ist jetzt verfügbar, um eine sehr ausführliche Abfragetracelogging-Funktion zu aktivieren. Diese Option kann nur zur Kompilierzeit festgelegt werden. Diese Option wirkt sich negativ auf die Leistung aus und sollte nur zum Debuggen verwendet werden.
- Funktionsänderungen:
- Große Inline-Signatur-Änderungen sollten weniger störend sein. Die Signaturgenerierung wird jetzt schrittweise durchgeführt. Die Anzahl der in jedem Quantum zu erzeugenden Signaturen wird durch die Signiernummer der Signatur gesteuert. [RT # 37927]
- Die experimentelle SIT-Erweiterung verwendet jetzt den EDNS COOKIE-Optionscodepunkt (10) und wird als "COOKIE:" angezeigt. Die bestehenden named.conf-Direktiven; "request-sit", "sit-secret" und "nosit-udp-size" sind weiterhin gültig und werden in BIND 9.11 durch "send-cookie", "cookie-secret" und "nocookie-udp-size" ersetzt . Die bestehende dig-Anweisung "+ sit" ist weiterhin gültig und wird in BIND 9.11 durch "+ cookie" ersetzt.
- Beim Wiederholen einer Abfrage über TCP, weil die erste Antwort abgeschnitten wurde, sendet dig jetzt korrekt den COOKIE-Wert, der vom Server in der vorherigen Antwort zurückgegeben wurde. [RT # 39047]
- Das Abrufen des lokalen Portbereichs von net.ipv4.ip_local_port_range unter Linux wird jetzt unterstützt.
- Active Directory-Namen des Formulars gc._msdcs. werden jetzt als gültige Hostnamen akzeptiert, wenn die Check-Namen-Option verwendet wird. ist immer noch auf Buchstaben, Ziffern und Bindestriche beschränkt.
- Namen mit Rich Text werden jetzt als gültige Hostnamen in PTR-Datensätzen in DNS-SD-Reverse-Lookupzonen gemäß RFC 6763 akzeptiert. [RT # 37889]
- Fehlerbehebungen:
- Asynchrone Zonenladungen wurden nicht korrekt gehandhabt, wenn die Zonenlast bereits aktiv war; Dies könnte einen Absturz in zt.c. auslösen [RT # 37573]
- Ein Rennen während des Herunterfahrens oder der Rekonfiguration könnte einen Assertionsfehler in mem.c verursachen. [RT # 38979]
- Einige Antwortformatierungsoptionen funktionierten nicht korrekt mit dig + short. [RT # 39291]
- Fehlgeschlagene Datensätze einiger Typen, einschließlich NSAP und UNIS, können beim Laden von Textzonendateien Assertionsfehler auslösen. [RT # 40274] [RT # 40285]
- Es wurde ein möglicher Absturz in rarelimiter.c behoben, der dadurch verursacht wurde, dass NOTIFY-Nachrichten aus der falschen Rate-Begrenzer-Warteschlange entfernt wurden. [RT # 40350]
- Die Standard-rrset-Reihenfolge von random wurde inkonsistent angewendet. [RT # 40456]
- BADVERS-Antworten von defekten autoritativen Nameservern wurden nicht korrekt behandelt. [RT # 40427]
- In der RPZ-Implementierung wurden mehrere Fehler behoben: + Richtlinienbereiche, die keine Rekursion erfordern, könnten so behandelt werden, als ob sie dies getan hätten; folglich setzen Sie qname-wait-recurse no; war manchmal unwirksam. Dies wurde korrigiert. In den meisten Konfigurationen sind Verhaltensänderungen aufgrund dieses Fixes nicht bemerkbar. [RT # 39229] + Der Server konnte abstürzen, wenn die Policy-Zonen aktualisiert wurden (z. B. über rndc reload oder eine eingehende Zonenübertragung), während die RPZ-Verarbeitung für eine aktive Abfrage noch nicht abgeschlossen war. [RT # 39415] + Wenn auf Servern mit einer oder mehreren als Slaves konfigurierten Richtlinienzonen eine Richtlinienzone während des normalen Betriebs (und nicht beim Start) mithilfe eines vollständigen Neuladens der Zone aktualisiert wurde, z. B. über AXFR, konnte ein Fehler die Zusammenfassung der RPZ ermöglichen Daten, die nicht synchron sind, führen möglicherweise zu einem Assertionsfehler in rpz.c, wenn weitere inkrementelle Aktualisierungen an der Zone vorgenommen wurden, z. B. über IXFR. [RT # 39567] + Auf dem Server könnte ein kürzeres Präfix als in CLIENT-IP-Richtlinientriggern verfügbar sein. Daher könnte eine unerwartete Aktion ausgeführt werden. Dies wurde korrigiert. [RT # 39481] + Der Server konnte abstürzen, wenn ein erneutes Laden einer RPZ-Zone initiiert wurde, während ein anderes erneutes Laden der gleichen Zone bereits ausgeführt wurde.
[RT # 39649] + Abfragenamen könnten mit der falschen Richtlinienzone übereinstimmen, wenn Platzhalterdatensätze vorhanden sind. [RT # 40357]
Was ist neu in Version 9.11.0:
- Sicherheitsupdates:
- Eine falsche Grenzprüfung im OPENPGPKEY-Datentypen könnte einen Assertionsfehler auslösen. Dieser Fehler ist in CVE-2015-5986 offenbart. [RT # 40286]
- Ein Buffer accounting error könnte einen Assertionsfehler beim Analysieren bestimmter ungültiger DNSSEC-Schlüssel auslösen. Dieser Fehler wurde von Hanno Bock des Fuzzing-Projekts entdeckt und ist in CVE-2015-5722 offenbart. [RT # 40212]
- Eine speziell gestaltete Abfrage könnte in message.c einen Assertionsfehler auslösen. Dieser Fehler wurde von Jonathan Foote entdeckt und ist in CVE-2015-5477 offenbart. [RT # 40046]
- Auf Servern, die zur Durchführung der DNSSEC-Validierung konfiguriert sind, konnte bei Antworten von einem speziell konfigurierten Server ein Assertion-Fehler ausgelöst werden. Dieser Fehler wurde von Breno Silveira Soares entdeckt und ist in CVE-2015-4620 offenbart. [RT # 39795]
- Neue Funktionen:
- Es wurden neue Kontingente hinzugefügt, um die Abfragen zu begrenzen, die von rekursiven Resolvern an autoritative Server gesendet werden, bei denen es zu Denial-of-Service-Angriffen kommt. Wenn diese Optionen konfiguriert sind, können sie sowohl den Schaden für autoritative Server reduzieren als auch die Erschöpfung von Ressourcen vermeiden, die von Rekursiven erfahren werden können, wenn sie als Vehikel für einen solchen Angriff verwendet werden. HINWEIS: Diese Optionen sind standardmäßig nicht verfügbar. Verwenden Sie configure --enable-fetchlimit, um sie in den Build aufzunehmen. + Abruf pro Server begrenzt die Anzahl gleichzeitiger Abfragen, die an einen einzelnen autoritativen Server gesendet werden können. Der konfigurierte Wert ist ein Startpunkt; Es wird automatisch nach unten angepasst, wenn der Server teilweise oder vollständig nicht reagiert. Der zur Anpassung des Kontingents verwendete Algorithmus kann über die Option fetch-quota-params konfiguriert werden. + Fetches pro Zone begrenzt die Anzahl gleichzeitiger Abfragen, die für Namen innerhalb einer einzelnen Domäne gesendet werden können. (Hinweis: Im Gegensatz zu "Fetches pro Server" ist dieser Wert keine Selbstoptimierung.) Außerdem wurden Statistikzähler hinzugefügt, um die Anzahl der von diesen Kontingenten betroffenen Abfragen nachzuverfolgen.
- dig + ednsflags können jetzt verwendet werden, um noch festzulegende EDNS-Flags in DNS-Anfragen zu setzen.
- dig + [no] ednsnegotiation kann jetzt verwendet werden, um die EDNS-Versionsverhandlung zu aktivieren / deaktivieren.
- Ein --enable-querytrace configure-Schalter ist jetzt verfügbar, um eine sehr ausführliche Abfragetracelogging-Funktion zu aktivieren. Diese Option kann nur zur Kompilierzeit festgelegt werden. Diese Option wirkt sich negativ auf die Leistung aus und sollte nur zum Debuggen verwendet werden.
- Funktionsänderungen:
- Große Inline-Signatur-Änderungen sollten weniger störend sein. Die Signaturgenerierung wird jetzt schrittweise durchgeführt. Die Anzahl der in jedem Quantum zu erzeugenden Signaturen wird durch die Signiernummer der Signatur gesteuert. [RT # 37927]
- Die experimentelle SIT-Erweiterung verwendet jetzt den EDNS COOKIE-Optionscodepunkt (10) und wird als "COOKIE:" angezeigt. Die bestehenden named.conf-Direktiven; "request-sit", "sit-secret" und "nosit-udp-size" sind weiterhin gültig und werden in BIND 9.11 durch "send-cookie", "cookie-secret" und "nocookie-udp-size" ersetzt . Die bestehende dig-Anweisung "+ sit" ist weiterhin gültig und wird in BIND 9.11 durch "+ cookie" ersetzt.
- Beim Wiederholen einer Abfrage über TCP, weil die erste Antwort abgeschnitten wurde, sendet dig jetzt korrekt den COOKIE-Wert, der vom Server in der vorherigen Antwort zurückgegeben wurde. [RT # 39047]
- Das Abrufen des lokalen Portbereichs von net.ipv4.ip_local_port_range unter Linux wird jetzt unterstützt.
- Active Directory-Namen des Formulars gc._msdcs. werden jetzt als gültige Hostnamen akzeptiert, wenn die Check-Namen-Option verwendet wird. ist immer noch auf Buchstaben, Ziffern und Bindestriche beschränkt.
- Namen mit Rich Text werden jetzt als gültige Hostnamen in PTR-Datensätzen in DNS-SD-Reverse-Lookupzonen gemäß RFC 6763 akzeptiert. [RT # 37889]
- Fehlerbehebungen:
- Asynchrone Zonenladungen wurden nicht korrekt gehandhabt, wenn die Zonenlast bereits aktiv war; Dies könnte einen Absturz in zt.c. auslösen [RT # 37573]
- Ein Rennen während des Herunterfahrens oder der Rekonfiguration könnte einen Assertionsfehler in mem.c verursachen. [RT # 38979]
- Einige Antwortformatierungsoptionen funktionierten nicht korrekt mit dig + short. [RT # 39291]
- Fehlgeschlagene Datensätze einiger Typen, einschließlich NSAP und UNIS, können beim Laden von Textzonendateien Assertionsfehler auslösen. [RT # 40274] [RT # 40285]
- Es wurde ein möglicher Absturz in rarelimiter.c behoben, der dadurch verursacht wurde, dass NOTIFY-Nachrichten aus der falschen Rate-Begrenzer-Warteschlange entfernt wurden. [RT # 40350]
- Die Standard-rrset-Reihenfolge von random wurde inkonsistent angewendet. [RT # 40456]
- BADVERS-Antworten von defekten autoritativen Nameservern wurden nicht korrekt behandelt. [RT # 40427]
- In der RPZ-Implementierung wurden mehrere Fehler behoben: + Richtlinienbereiche, die keine Rekursion erfordern, könnten so behandelt werden, als ob sie dies getan hätten; folglich setzen Sie qname-wait-recurse no; war manchmal unwirksam. Dies wurde korrigiert. In den meisten Konfigurationen sind Verhaltensänderungen aufgrund dieses Fixes nicht bemerkbar. [RT # 39229] + Der Server konnte abstürzen, wenn die Policy-Zonen aktualisiert wurden (z. B. über rndc reload oder eine eingehende Zonenübertragung), während die RPZ-Verarbeitung für eine aktive Abfrage noch nicht abgeschlossen war. [RT # 39415] + Wenn auf Servern mit einer oder mehreren als Slaves konfigurierten Richtlinienzonen eine Richtlinienzone während des normalen Betriebs (und nicht beim Start) mithilfe eines vollständigen Neuladens der Zone aktualisiert wurde, z. B. über AXFR, konnte ein Fehler die Zusammenfassung der RPZ ermöglichen Daten, die nicht synchron sind, führen möglicherweise zu einem Assertionsfehler in rpz.c, wenn weitere inkrementelle Aktualisierungen an der Zone vorgenommen wurden, z. B. über IXFR. [RT # 39567] + Auf dem Server könnte ein kürzeres Präfix als in CLIENT-IP-Richtlinientriggern verfügbar sein. Daher könnte eine unerwartete Aktion ausgeführt werden. Dies wurde korrigiert. [RT # 39481] + Der Server konnte abstürzen, wenn ein erneutes Laden einer RPZ-Zone initiiert wurde, während ein anderes erneutes Laden der gleichen Zone bereits ausgeführt wurde.
[RT # 39649] + Abfragenamen könnten mit der falschen Richtlinienzone übereinstimmen, wenn Platzhalterdatensätze vorhanden sind. [RT # 40357]
Was ist neu in Version 9.10.4-P3:
- Sicherheitsupdates:
- Eine falsche Grenzprüfung im OPENPGPKEY-Datentypen könnte einen Assertionsfehler auslösen. Dieser Fehler ist in CVE-2015-5986 offenbart. [RT # 40286]
- Ein Buffer accounting error könnte einen Assertionsfehler beim Analysieren bestimmter ungültiger DNSSEC-Schlüssel auslösen. Dieser Fehler wurde von Hanno Bock des Fuzzing-Projekts entdeckt und ist in CVE-2015-5722 offenbart. [RT # 40212]
- Eine speziell gestaltete Abfrage könnte in message.c einen Assertionsfehler auslösen. Dieser Fehler wurde von Jonathan Foote entdeckt und ist in CVE-2015-5477 offenbart. [RT # 40046]
- Auf Servern, die zur Durchführung der DNSSEC-Validierung konfiguriert sind, konnte bei Antworten von einem speziell konfigurierten Server ein Assertion-Fehler ausgelöst werden. Dieser Fehler wurde von Breno Silveira Soares entdeckt und ist in CVE-2015-4620 offenbart. [RT # 39795]
- Neue Funktionen:
- Es wurden neue Kontingente hinzugefügt, um die Abfragen zu begrenzen, die von rekursiven Resolvern an autoritative Server gesendet werden, bei denen es zu Denial-of-Service-Angriffen kommt. Wenn diese Optionen konfiguriert sind, können sie sowohl den Schaden für autoritative Server reduzieren als auch die Erschöpfung von Ressourcen vermeiden, die von Rekursiven erfahren werden können, wenn sie als Vehikel für einen solchen Angriff verwendet werden. HINWEIS: Diese Optionen sind standardmäßig nicht verfügbar. Verwenden Sie configure --enable-fetchlimit, um sie in den Build aufzunehmen. + Abruf pro Server begrenzt die Anzahl gleichzeitiger Abfragen, die an einen einzelnen autoritativen Server gesendet werden können. Der konfigurierte Wert ist ein Startpunkt; Es wird automatisch nach unten angepasst, wenn der Server teilweise oder vollständig nicht reagiert. Der zur Anpassung des Kontingents verwendete Algorithmus kann über die Option fetch-quota-params konfiguriert werden. + Fetches pro Zone begrenzt die Anzahl gleichzeitiger Abfragen, die für Namen innerhalb einer einzelnen Domäne gesendet werden können. (Hinweis: Im Gegensatz zu "Fetches pro Server" ist dieser Wert keine Selbstoptimierung.) Außerdem wurden Statistikzähler hinzugefügt, um die Anzahl der von diesen Kontingenten betroffenen Abfragen nachzuverfolgen.
- dig + ednsflags können jetzt verwendet werden, um noch festzulegende EDNS-Flags in DNS-Anfragen zu setzen.
- dig + [no] ednsnegotiation kann jetzt verwendet werden, um die EDNS-Versionsverhandlung zu aktivieren / deaktivieren.
- Ein --enable-querytrace configure-Schalter ist jetzt verfügbar, um eine sehr ausführliche Abfragetracelogging-Funktion zu aktivieren. Diese Option kann nur zur Kompilierzeit festgelegt werden. Diese Option wirkt sich negativ auf die Leistung aus und sollte nur zum Debuggen verwendet werden.
- Funktionsänderungen:
- Große Inline-Signatur-Änderungen sollten weniger störend sein. Die Signaturgenerierung wird jetzt schrittweise durchgeführt. Die Anzahl der in jedem Quantum zu erzeugenden Signaturen wird durch die Signiernummer der Signatur gesteuert. [RT # 37927]
- Die experimentelle SIT-Erweiterung verwendet jetzt den EDNS COOKIE-Optionscodepunkt (10) und wird als "COOKIE:" angezeigt. Die bestehenden named.conf-Direktiven; "request-sit", "sit-secret" und "nosit-udp-size" sind weiterhin gültig und werden in BIND 9.11 durch "send-cookie", "cookie-secret" und "nocookie-udp-size" ersetzt . Die bestehende dig-Anweisung "+ sit" ist weiterhin gültig und wird in BIND 9.11 durch "+ cookie" ersetzt.
- Beim Wiederholen einer Abfrage über TCP, weil die erste Antwort abgeschnitten wurde, sendet dig jetzt korrekt den COOKIE-Wert, der vom Server in der vorherigen Antwort zurückgegeben wurde. [RT # 39047]
- Das Abrufen des lokalen Portbereichs von net.ipv4.ip_local_port_range unter Linux wird jetzt unterstützt.
- Active Directory-Namen des Formulars gc._msdcs. werden jetzt als gültige Hostnamen akzeptiert, wenn die Check-Namen-Option verwendet wird. ist immer noch auf Buchstaben, Ziffern und Bindestriche beschränkt.
- Namen mit Rich Text werden jetzt als gültige Hostnamen in PTR-Datensätzen in DNS-SD-Reverse-Lookupzonen gemäß RFC 6763 akzeptiert. [RT # 37889]
- Fehlerbehebungen:
- Asynchrone Zonenladungen wurden nicht korrekt gehandhabt, wenn die Zonenlast bereits aktiv war; Dies könnte einen Absturz in zt.c. auslösen [RT # 37573]
- Ein Rennen während des Herunterfahrens oder der Rekonfiguration könnte einen Assertionsfehler in mem.c verursachen. [RT # 38979]
- Einige Antwortformatierungsoptionen funktionierten nicht korrekt mit dig + short. [RT # 39291]
- Fehlgeschlagene Datensätze einiger Typen, einschließlich NSAP und UNIS, können beim Laden von Textzonendateien Assertionsfehler auslösen. [RT # 40274] [RT # 40285]
- Es wurde ein möglicher Absturz in rarelimiter.c behoben, der dadurch verursacht wurde, dass NOTIFY-Nachrichten aus der falschen Rate-Begrenzer-Warteschlange entfernt wurden. [RT # 40350]
- Die Standard-rrset-Reihenfolge von random wurde inkonsistent angewendet. [RT # 40456]
- BADVERS-Antworten von defekten autoritativen Nameservern wurden nicht korrekt behandelt. [RT # 40427]
- In der RPZ-Implementierung wurden mehrere Fehler behoben: + Richtlinienbereiche, die keine Rekursion erfordern, könnten so behandelt werden, als ob sie dies getan hätten; folglich setzen Sie qname-wait-recurse no; war manchmal unwirksam. Dies wurde korrigiert. In den meisten Konfigurationen sind Verhaltensänderungen aufgrund dieses Fixes nicht bemerkbar. [RT # 39229] + Der Server konnte abstürzen, wenn die Policy-Zonen aktualisiert wurden (z. B. über rndc reload oder eine eingehende Zonenübertragung), während die RPZ-Verarbeitung für eine aktive Abfrage noch nicht abgeschlossen war. [RT # 39415] + Wenn auf Servern mit einer oder mehreren als Slaves konfigurierten Richtlinienzonen eine Richtlinienzone während des normalen Betriebs (und nicht beim Start) mithilfe eines vollständigen Neuladens der Zone aktualisiert wurde, z. B. über AXFR, konnte ein Fehler die Zusammenfassung der RPZ ermöglichen Daten, die nicht synchron sind, führen möglicherweise zu einem Assertionsfehler in rpz.c, wenn weitere inkrementelle Aktualisierungen an der Zone vorgenommen wurden, z. B. über IXFR. [RT # 39567] + Auf dem Server könnte ein kürzeres Präfix als in CLIENT-IP-Richtlinientriggern verfügbar sein. Daher könnte eine unerwartete Aktion ausgeführt werden. Dies wurde korrigiert. [RT # 39481] + Der Server konnte abstürzen, wenn ein erneutes Laden einer RPZ-Zone initiiert wurde, während ein anderes erneutes Laden der gleichen Zone bereits ausgeführt wurde.[RT # 39649] + Abfragenamen konnten mit der falschen Richtlinienzone übereinstimmen, wenn Platzhalterdatensätze vorhanden waren. [RT # 40357]
Kommentare nicht gefunden