BIND (Tên miền Internet Berkeley) là một phần mềm UNIX dòng lệnh phân phối việc triển khai mã nguồn mở của các giao thức Hệ thống Tên miền (DNS). Nó bao gồm một thư viện giải quyết vấn đề, một máy chủ / daemon được gọi là `named ', cũng như các công cụ phần mềm để kiểm tra và xác minh hoạt động của các máy chủ DNS.
Được viết ban đầu tại Đại học California ở Berkeley, BIND đã được bảo vệ bởi nhiều tổ chức, bao gồm Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, Cơ quan Hệ thống Thông tin Quốc phòng Hoa Kỳ, Hiệp hội USENIX, Tập đoàn Phần mềm Quy trình, Nominum, và Stichting NLNet & ndash; Quỹ NLNet.
Những gì được bao gồm?
Như đã đề cập, BIND bao gồm một máy chủ hệ thống tên miền, thư viện giải quyết tên miền và các công cụ phần mềm để kiểm tra các máy chủ. Mặc dù việc triển khai máy chủ DNS có trách nhiệm trả lời tất cả các câu hỏi nhận được bằng cách sử dụng các quy tắc đã nêu trong các tiêu chuẩn giao thức chính thức của DNS, thư viện gỡ rối DNS giải quyết các câu hỏi về tên miền.
Hệ điều hành được hỗ trợ
BIND đã được thiết kế đặc biệt cho nền tảng GNU / Linux và nó sẽ làm việc tốt với bất kỳ phân phối Linux nào, bao gồm Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, openSUSE, Mageia, và nhiều người khác. Nó hỗ trợ các kiến trúc tập lệnh 32-bit và 64-bit.
Dự án được phân phối dưới dạng một khối đa năng phổ biến gồm có mã nguồn của BIND, cho phép người dùng tối ưu hóa phần mềm cho nền tảng phần cứng và hệ điều hành của họ.
Tính năng mới trong bản phát hành này:
- Một lỗi mã hóa trong tính năng chuyển hướng nxdomain có thể dẫn tới sự thất bại khẳng định nếu không gian tên chuyển hướng đã được phục vụ từ một nguồn dữ liệu độc quyền cục bộ chẳng hạn như một vùng cục bộ hoặc một DLZ thay vì qua tra cứu đệ quy. Lỗ hổng này được tiết lộ trong CVE-2016-9778. [RT # 43837]
- Được đặt tên có thể làm hỏng các bộ phận quyền lực đã thiếu RRSIGs gây ra sự cố khẳng định. Lỗ hổng này được tiết lộ trong CVE-2016-9444. [RT # 43632]
- Được đặt tên là không chính xác một số phản hồi nơi chứa các bản ghi RRSIG được trả về mà không có dữ liệu yêu cầu kết quả là một sự khẳng định thất bại. Lỗ hổng này được trình bày trong CVE-2016-9147. [RT # 43548]
- Tên không chính xác đã cố gắng để lưu trữ hồ sơ TKEY có thể gây ra một sự khẳng định thất bại khi có sự không phù hợp giữa lớp. Lỗ hổng này được trình bày trong CVE-2016-9131. [RT # 43522]
- Có thể kích hoạt các xác nhận khi xử lý phản hồi. Lỗ hổng này được tiết lộ trong CVE-2016-8864. [RT # 43465]
- Một lỗi mã hóa trong tính năng chuyển hướng nxdomain có thể dẫn tới sự thất bại khẳng định nếu không gian tên chuyển hướng đã được phục vụ từ một nguồn dữ liệu độc quyền cục bộ chẳng hạn như một vùng cục bộ hoặc một DLZ thay vì qua tra cứu đệ quy. Lỗ hổng này được tiết lộ trong CVE-2016-9778. [RT # 43837]
- Được đặt tên có thể làm hỏng các bộ phận quyền lực đã thiếu RRSIGs gây ra sự cố khẳng định. Lỗ hổng này được tiết lộ trong CVE-2016-9444. [RT # 43632]
- Được đặt tên là không chính xác một số phản hồi nơi chứa các bản ghi RRSIG được trả về mà không có dữ liệu yêu cầu kết quả là một sự khẳng định thất bại. Lỗ hổng này được trình bày trong CVE-2016-9147. [RT # 43548]
- Tên không chính xác đã cố gắng để lưu trữ hồ sơ TKEY có thể gây ra một sự khẳng định thất bại khi có sự không phù hợp giữa lớp. Lỗ hổng này được trình bày trong CVE-2016-9131. [RT # 43522]
- Có thể kích hoạt các xác nhận khi xử lý phản hồi. Lỗ hổng này được tiết lộ trong CVE-2016-8864. [RT # 43465]
- Một lỗi mã hóa trong tính năng chuyển hướng nxdomain có thể dẫn tới sự thất bại khẳng định nếu không gian tên chuyển hướng đã được phục vụ từ một nguồn dữ liệu độc quyền cục bộ chẳng hạn như một vùng cục bộ hoặc một DLZ thay vì qua tra cứu đệ quy. Lỗ hổng này được tiết lộ trong CVE-2016-9778. [RT # 43837]
- Được đặt tên có thể làm hỏng các bộ phận quyền lực đã thiếu RRSIGs gây ra sự cố khẳng định. Lỗ hổng này được tiết lộ trong CVE-2016-9444. [RT # 43632]
- Được đặt tên là không chính xác một số phản hồi nơi chứa các bản ghi RRSIG được trả về mà không có dữ liệu yêu cầu kết quả là một sự khẳng định thất bại. Lỗ hổng này được trình bày trong CVE-2016-9147. [RT # 43548]
- Tên không chính xác đã cố gắng để lưu trữ hồ sơ TKEY có thể gây ra một sự khẳng định thất bại khi có sự không phù hợp giữa lớp. Lỗ hổng này được trình bày trong CVE-2016-9131. [RT # 43522]
- Có thể kích hoạt các xác nhận khi xử lý phản hồi. Lỗ hổng này được tiết lộ trong CVE-2016-8864. [RT # 43465]
- Một lỗi mã hóa trong tính năng chuyển hướng nxdomain có thể dẫn tới sự thất bại khẳng định nếu không gian tên chuyển hướng đã được phục vụ từ một nguồn dữ liệu độc quyền cục bộ chẳng hạn như một vùng cục bộ hoặc một DLZ thay vì qua tra cứu đệ quy. Lỗ hổng này được tiết lộ trong CVE-2016-9778. [RT # 43837]
- Được đặt tên có thể làm hỏng các bộ phận quyền lực đã thiếu RRSIGs gây ra sự cố khẳng định. Lỗ hổng này được tiết lộ trong CVE-2016-9444. [RT # 43632]
- Được đặt tên là không chính xác một số phản hồi nơi chứa các bản ghi RRSIG được trả về mà không có dữ liệu yêu cầu kết quả là một sự khẳng định thất bại. Lỗ hổng này được trình bày trong CVE-2016-9147. [RT # 43548]
- Tên không chính xác đã cố gắng để lưu trữ hồ sơ TKEY có thể gây ra một sự khẳng định thất bại khi có sự không phù hợp giữa lớp. Lỗ hổng này được trình bày trong CVE-2016-9131. [RT # 43522]
- Có thể kích hoạt các xác nhận khi xử lý phản hồi. Lỗ hổng này được tiết lộ trong CVE-2016-8864. [RT # 43465]
- Một lỗi mã hóa trong tính năng chuyển hướng nxdomain có thể dẫn tới sự thất bại khẳng định nếu không gian tên chuyển hướng đã được phục vụ từ một nguồn dữ liệu độc quyền cục bộ chẳng hạn như một vùng cục bộ hoặc một DLZ thay vì qua tra cứu đệ quy. Lỗ hổng này được tiết lộ trong CVE-2016-9778. [RT # 43837]
- Được đặt tên có thể làm hỏng các bộ phận quyền lực đã thiếu RRSIGs gây ra sự cố khẳng định. Lỗ hổng này được tiết lộ trong CVE-2016-9444. [RT # 43632]
- Được đặt tên là không chính xác một số phản hồi nơi chứa các bản ghi RRSIG được trả về mà không có dữ liệu yêu cầu kết quả là một sự khẳng định thất bại. Lỗ hổng này được trình bày trong CVE-2016-9147. [RT # 43548]
- Tên không chính xác đã cố gắng để lưu trữ hồ sơ TKEY có thể gây ra một sự khẳng định thất bại khi có sự không phù hợp giữa lớp. Lỗ hổng này được trình bày trong CVE-2016-9131. [RT # 43522]
- Có thể kích hoạt các xác nhận khi xử lý phản hồi. Lỗ hổng này được tiết lộ trong CVE-2016-8864. [RT # 43465]
- Một lỗi mã hoá trong tính năng chuyển hướng nxdomain có thể dẫn tới sự thất bại khẳng định nếu không gian tên chuyển hướng đã được phục vụ từ nguồn dữ liệu độc quyền cục bộ chẳng hạn như khu vực cục bộ hoặc DLZ thay vì qua tra cứu đệ quy. Lỗ hổng này được tiết lộ trong CVE-2016-9778. [RT # 43837]
- Được đặt tên có thể làm hỏng các bộ phận quyền lực đã thiếu RRSIGs gây ra sự cố khẳng định. Lỗ hổng này được tiết lộ trong CVE-2016-9444. [RT # 43632]
- Được đặt tên là không chính xác một số phản hồi nơi chứa các bản ghi RRSIG được trả về mà không có dữ liệu yêu cầu kết quả là một sự khẳng định thất bại. Lỗ hổng này được trình bày trong CVE-2016-9147. [RT # 43548]
- Tên không chính xác đã cố gắng để lưu trữ hồ sơ TKEY có thể gây ra một sự khẳng định thất bại khi có sự không phù hợp giữa lớp. Lỗ hổng này được trình bày trong CVE-2016-9131. [RT # 43522]
- Có thể kích hoạt các xác nhận khi xử lý phản hồi. Lỗ hổng này được tiết lộ trong CVE-2016-8864. [RT # 43465]
- Giải pháp khắc phục sự cố:
- Kiểm tra ranh giới không chính xác trong rdatatype OPENPGPKEY có thể kích hoạt lỗi khẳng định. Lỗ hổng này được tiết lộ trong CVE-2015-5986. [RT # 40286]
- Một lỗi kế toán đệm có thể kích hoạt một sự khẳng định thất bại khi phân tích một số cú pháp DNSSEC bị định dạng sai. Sai lầm này được phát hiện bởi Hanno Bock của Dự án Fuzzing, và được tiết lộ trong CVE-2015-5722. [RT # 40212]
- Một truy vấn được tạo ra đặc biệt có thể kích hoạt một sự khẳng định thất bại trong message.c. Lỗ hổng này được phát hiện bởi Jonathan Foote, và được tiết lộ trong CVE-2015-5477. [RT # 40046]
- Trên máy chủ được định cấu hình để thực hiện xác thực DNSSEC, lỗi xác nhận có thể được kích hoạt trên câu trả lời từ một máy chủ được định cấu hình đặc biệt. Sai lầm này đã được phát hiện bởi Breno Silveira Soares, và được tiết lộ trong CVE-2015-4620. [RT # 39795]
- Tính năng mới:
- Các hạn ngạch mới đã được thêm vào để hạn chế các truy vấn được gửi bởi các trình giải quyết đệ quy tới các máy chủ độc quyền có trải nghiệm các cuộc tấn công từ chối dịch vụ. Khi được cấu hình, các tùy chọn này có thể giảm nguy cơ thực hiện cho các máy chủ có thẩm quyền và cũng tránh được sự cạn kiệt tài nguyên do các đệ quy đệ quy khi chúng đang được sử dụng như một phương tiện cho một cuộc tấn công như vậy. LƯU Ý: Các tùy chọn này không khả dụng theo mặc định; sử dụng configure --enable-fetchlimit để bao gồm chúng trong build. + fetches-per-server giới hạn số lượng các truy vấn đồng thời có thể được gửi đến bất kỳ máy chủ độc quyền nào. Giá trị được cấu hình là một điểm khởi đầu; nó sẽ tự động điều chỉnh xuống nếu máy chủ là một phần hoặc không hoàn toàn đáp ứng. Thuật toán được sử dụng để điều chỉnh hạn ngạch có thể được cấu hình thông qua tùy chọn tìm nạp-quota-params. + fetches-per-zone giới hạn số lượng truy vấn đồng thời có thể được gửi cho các tên trong một tên miền. (Lưu ý: Không giống như "fetches-per-server", giá trị này không tự điều chỉnh.) Các quầy thống kê cũng đã được thêm vào để theo dõi số truy vấn bị ảnh hưởng bởi các hạn ngạch này.
- dig + ednsflags bây giờ có thể được sử dụng để đặt cờ EDNS chưa được xác định trong các yêu cầu DNS.
- đào + [không] ednsnegotiation bây giờ có thể được sử dụng cho phép / vô hiệu hóa phiên bản EDNS thương lượng.
- Thiết lập chuyển đổi cấu hình truy vấn query-to-query được hiện đang có sẵn để cho phép tracelogging truy vấn verbose. Tùy chọn này chỉ có thể được đặt ở thời gian biên dịch. Tùy chọn này có tác động tiêu cực và chỉ được sử dụng để gỡ lỗi.
- Tính năng Thay đổi:
- Thay đổi nội dung đăng ký lớn sẽ ít gây rối hơn. Thế hệ chữ ký bây giờ được thực hiện tăng dần; số lượng chữ ký được tạo ra trong mỗi lượng tử được kiểm soát bởi "chữ ký ký chữ ký số;". [RT # 37927]
- Phần mở rộng SIT thử nghiệm bây giờ sử dụng điểm mã lựa chọn bánh ngọt EDNS COOKIE (10) và được hiển thị là "COOKIE:". Các chỉ thị tên.conf hiện có; "sit-secret" và "nosit-udp-size", vẫn còn giá trị và sẽ được thay thế bằng "send-cookie", "cookie-secret" và "nocookie-udp-size" trong BIND 9.11 . Chỉ thị "+ ngồi" hiện có vẫn hợp lệ và sẽ được thay thế bằng "+ cookie" trong BIND 9.11.
- Khi thử lại truy vấn qua TCP do câu trả lời đầu tiên bị cắt ngắn, đào bây giờ sẽ gửi chính xác giá trị COOKIE trả về bởi máy chủ trong phản hồi trước. [RT # 39047]
- Truy xuất phạm vi cổng cục bộ từ net.ipv4.ip_local_port_range trên Linux hiện đã được hỗ trợ.
- Tên Active Directory của biểu mẫu gc._msdcs. hiện đã được chấp nhận làm tên máy chủ hợp lệ khi sử dụng tùy chọn check-names. vẫn còn hạn chế đối với chữ cái, chữ số và dấu nối.
- Tên có chứa văn bản đã được chấp nhận là tên máy chủ hợp lệ trong bản ghi PTR trong các vùng tra cứu ngược DNS-SD, như được chỉ định trong RFC 6763. [RT # 37889]
- Sửa lỗi:
- Tải vùng không đồng bộ không được xử lý chính xác khi tải vùng đã được tiến hành; điều này có thể kích hoạt một tai nạn trong zt.c. [RT # 37573]
- Cuộc chạy đua trong khi tắt máy hoặc cấu hình lại có thể gây ra sự khẳng định thất bại trong mem.c. [RT # 38979]
- Một số tùy chọn định dạng câu trả lời không hoạt động chính xác với dig + short. [RT # 39291]
- Các bản ghi không đúng định dạng của một số loại, bao gồm cả NSAP và UNSPEC, có thể kích hoạt các sự cố khẳng định khi tải các tệp tin văn bản. [RT # 40274] [RT # 40285]
- Đã khắc phục sự cố tai nạn có thể xảy ra trong ratelimiter.c do thông báo NOTIFY đang được xóa khỏi hàng đợi trình hạn chế tốc độ sai. [RT # 40350]
- Lệnh rrset mặc định của ngẫu nhiên được áp dụng không nhất quán. [RT # 40456]
- Câu trả lời BADVERS từ máy chủ tên có thẩm quyền bị hỏng không được xử lý chính xác. [RT # 40427]
- Một số lỗi đã được khắc phục trong quá trình thực hiện RPZ: + Các vùng chính sách không đặc biệt yêu cầu đệ quy có thể được xem như đã làm; do đó, thiết lập qname-wait-recurse no; đôi khi đôi khi không hiệu quả. Điều này đã được sửa chữa. Trong hầu hết các cấu hình, thay đổi hành vi do sửa chữa này sẽ không được chú ý. [RT # 39229] + Máy chủ có thể sụp đổ nếu các khu vực chính sách được cập nhật (ví dụ: thông qua rndc reload hoặc chuyển vùng đến) trong khi xử lý RPZ vẫn đang tiếp diễn cho một truy vấn đang hoạt động. [RT # 39415] + Trên các máy chủ có một hoặc nhiều vùng chính sách được cấu hình dưới dạng nô lệ, nếu một khu vực chính sách được cập nhật trong quá trình hoạt động thường xuyên (chứ không phải lúc khởi động) bằng cách sử dụng tải lại toàn bộ khu vực, chẳng hạn như qua AXFR, một lỗi có thể cho phép tóm tắt RPZ dữ liệu bị rơi ra khỏi đồng bộ, có khả năng dẫn đến sự thất bại khẳng định trong rpz.c khi đã thực hiện thêm các cập nhật gia tăng cho vùng, chẳng hạn như thông qua IXFR. [RT # 39567] + Máy chủ có thể so khớp một tiền tố ngắn hơn những gì đã có sẵn trong các trình kích hoạt chính sách của CLIENT-IP, và do đó, một hành động bất ngờ có thể được thực hiện. Điều này đã được sửa chữa. [RT # 39481] + Máy chủ có thể sụp đổ nếu một gói RPZ khởi động lại trong khi tải lại cùng một khu vực đã được tiến hành.
[RT # 39649] + Tên truy vấn có thể khớp với chính sách sai nếu có biểu ghi ký tự đại diện. [RT # 40357]
- Giải pháp khắc phục sự cố:
- Kiểm tra ranh giới không chính xác trong rdatatype OPENPGPKEY có thể kích hoạt lỗi khẳng định. Lỗ hổng này được tiết lộ trong CVE-2015-5986. [RT # 40286]
- Một lỗi kế toán đệm có thể kích hoạt một sự khẳng định thất bại khi phân tích một số cú pháp DNSSEC bị định dạng sai. Sai lầm này được phát hiện bởi Hanno Bock của Dự án Fuzzing, và được tiết lộ trong CVE-2015-5722. [RT # 40212]
- Một truy vấn được tạo ra đặc biệt có thể kích hoạt một sự khẳng định thất bại trong message.c. Lỗ hổng này được phát hiện bởi Jonathan Foote, và được tiết lộ trong CVE-2015-5477. [RT # 40046]
- Trên máy chủ được định cấu hình để thực hiện xác thực DNSSEC, lỗi xác nhận có thể được kích hoạt trên câu trả lời từ một máy chủ được định cấu hình đặc biệt. Sai lầm này đã được phát hiện bởi Breno Silveira Soares, và được tiết lộ trong CVE-2015-4620. [RT # 39795]
- Tính năng mới:
- Các hạn ngạch mới đã được thêm vào để hạn chế các truy vấn được gửi bởi các trình giải quyết đệ quy tới các máy chủ độc quyền có trải nghiệm các cuộc tấn công từ chối dịch vụ. Khi được cấu hình, các tùy chọn này có thể giảm nguy cơ thực hiện cho các máy chủ có thẩm quyền và cũng tránh được sự cạn kiệt tài nguyên do các đệ quy đệ quy khi chúng đang được sử dụng như một phương tiện cho một cuộc tấn công như vậy. LƯU Ý: Các tùy chọn này không khả dụng theo mặc định; sử dụng configure --enable-fetchlimit để bao gồm chúng trong build. + fetches-per-server giới hạn số lượng các truy vấn đồng thời có thể được gửi đến bất kỳ máy chủ độc quyền nào. Giá trị được cấu hình là một điểm khởi đầu; nó sẽ tự động điều chỉnh xuống nếu máy chủ là một phần hoặc không hoàn toàn đáp ứng. Thuật toán được sử dụng để điều chỉnh hạn ngạch có thể được cấu hình thông qua tùy chọn tìm nạp-quota-params. + fetches-per-zone giới hạn số lượng truy vấn đồng thời có thể được gửi cho các tên trong một tên miền. (Lưu ý: Không giống như "fetches-per-server", giá trị này không tự điều chỉnh.) Các quầy thống kê cũng đã được thêm vào để theo dõi số truy vấn bị ảnh hưởng bởi các hạn ngạch này.
- dig + ednsflags bây giờ có thể được sử dụng để đặt cờ EDNS chưa được xác định trong các yêu cầu DNS.
- đào + [không] ednsnegotiation bây giờ có thể được sử dụng cho phép / vô hiệu hóa phiên bản EDNS thương lượng.
- Thiết lập chuyển đổi cấu hình truy vấn query-to-query được hiện đang có sẵn để cho phép tracelogging truy vấn verbose. Tùy chọn này chỉ có thể được đặt ở thời gian biên dịch. Tùy chọn này có tác động tiêu cực và chỉ được sử dụng để gỡ lỗi.
- Tính năng Thay đổi:
- Thay đổi nội dung đăng ký lớn sẽ ít gây rối hơn. Thế hệ chữ ký bây giờ được thực hiện tăng dần; số lượng chữ ký được tạo ra trong mỗi lượng tử được kiểm soát bởi "chữ ký ký chữ ký số;". [RT # 37927]
- Phần mở rộng SIT thử nghiệm bây giờ sử dụng điểm mã lựa chọn bánh ngọt EDNS COOKIE (10) và được hiển thị là "COOKIE:". Các chỉ thị tên.conf hiện có; "sit-secret" và "nosit-udp-size", vẫn còn giá trị và sẽ được thay thế bằng "send-cookie", "cookie-secret" và "nocookie-udp-size" trong BIND 9.11 . Chỉ thị "+ ngồi" hiện có vẫn hợp lệ và sẽ được thay thế bằng "+ cookie" trong BIND 9.11.
- Khi thử lại truy vấn qua TCP do câu trả lời đầu tiên bị cắt ngắn, đào bây giờ sẽ gửi chính xác giá trị COOKIE trả về bởi máy chủ trong phản hồi trước. [RT # 39047]
- Truy xuất phạm vi cổng cục bộ từ net.ipv4.ip_local_port_range trên Linux hiện đã được hỗ trợ.
- Tên Active Directory của biểu mẫu gc._msdcs. hiện đã được chấp nhận làm tên máy chủ hợp lệ khi sử dụng tùy chọn check-names. vẫn còn hạn chế đối với chữ cái, chữ số và dấu nối.
- Tên có chứa văn bản đã được chấp nhận là tên máy chủ hợp lệ trong bản ghi PTR trong các vùng tra cứu ngược DNS-SD, như được chỉ định trong RFC 6763. [RT # 37889]
- Sửa lỗi:
- Tải vùng không đồng bộ không được xử lý chính xác khi tải vùng đã được tiến hành; điều này có thể kích hoạt một tai nạn trong zt.c. [RT # 37573]
- Cuộc chạy đua trong khi tắt máy hoặc cấu hình lại có thể gây ra sự khẳng định thất bại trong mem.c. [RT # 38979]
- Một số tùy chọn định dạng câu trả lời không hoạt động chính xác với dig + short. [RT # 39291]
- Các bản ghi không đúng định dạng của một số loại, bao gồm cả NSAP và UNSPEC, có thể kích hoạt các sự cố khẳng định khi tải các tệp tin văn bản. [RT # 40274] [RT # 40285]
- Đã khắc phục sự cố tai nạn có thể xảy ra trong ratelimiter.c do thông báo NOTIFY đang được xóa khỏi hàng đợi trình hạn chế tốc độ sai. [RT # 40350]
- Lệnh rrset mặc định của ngẫu nhiên được áp dụng không nhất quán. [RT # 40456]
- Câu trả lời BADVERS từ máy chủ tên có thẩm quyền bị hỏng không được xử lý chính xác. [RT # 40427]
- Một số lỗi đã được khắc phục trong quá trình thực hiện RPZ: + Các vùng chính sách không đặc biệt yêu cầu đệ quy có thể được xem như đã làm; do đó, thiết lập qname-wait-recurse no; đôi khi đôi khi không hiệu quả. Điều này đã được sửa chữa. Trong hầu hết các cấu hình, thay đổi hành vi do sửa chữa này sẽ không được chú ý. [RT # 39229] + Máy chủ có thể sụp đổ nếu các khu vực chính sách được cập nhật (ví dụ: thông qua rndc reload hoặc chuyển vùng đến) trong khi xử lý RPZ vẫn đang tiếp diễn cho một truy vấn đang hoạt động. [RT # 39415] + Trên các máy chủ có một hoặc nhiều vùng chính sách được cấu hình dưới dạng nô lệ, nếu một khu vực chính sách được cập nhật trong quá trình hoạt động thường xuyên (chứ không phải lúc khởi động) bằng cách sử dụng tải lại toàn bộ khu vực, chẳng hạn như qua AXFR, một lỗi có thể cho phép tóm tắt RPZ dữ liệu bị rơi ra khỏi đồng bộ, có khả năng dẫn đến sự thất bại khẳng định trong rpz.c khi đã thực hiện thêm các cập nhật gia tăng cho vùng, chẳng hạn như thông qua IXFR. [RT # 39567] + Máy chủ có thể so khớp một tiền tố ngắn hơn những gì đã có sẵn trong các trình kích hoạt chính sách của CLIENT-IP, và do đó, một hành động bất ngờ có thể được thực hiện. Điều này đã được sửa chữa. [RT # 39481] + Máy chủ có thể sụp đổ nếu một gói RPZ khởi động lại trong khi tải lại cùng một khu vực đã được tiến hành.
[RT # 39649] + Tên truy vấn có thể khớp với chính sách sai nếu có biểu ghi ký tự đại diện. [RT # 40357]
- Giải pháp khắc phục sự cố:
- Kiểm tra ranh giới không chính xác trong rdatatype OPENPGPKEY có thể kích hoạt lỗi khẳng định. Lỗ hổng này được tiết lộ trong CVE-2015-5986. [RT # 40286]
- Một lỗi kế toán đệm có thể kích hoạt một sự khẳng định thất bại khi phân tích một số cú pháp DNSSEC bị định dạng sai. Sai lầm này được phát hiện bởi Hanno Bock của Dự án Fuzzing, và được tiết lộ trong CVE-2015-5722. [RT # 40212]
- Một truy vấn được tạo ra đặc biệt có thể kích hoạt một sự khẳng định thất bại trong message.c. Lỗ hổng này được phát hiện bởi Jonathan Foote, và được tiết lộ trong CVE-2015-5477. [RT # 40046]
- Trên máy chủ được định cấu hình để thực hiện xác thực DNSSEC, lỗi xác nhận có thể được kích hoạt trên câu trả lời từ một máy chủ được định cấu hình đặc biệt. Sai lầm này đã được phát hiện bởi Breno Silveira Soares, và được tiết lộ trong CVE-2015-4620. [RT # 39795]
- Tính năng mới:
- Các hạn ngạch mới đã được thêm vào để hạn chế các truy vấn được gửi bởi các trình giải quyết đệ quy tới các máy chủ độc quyền có trải nghiệm các cuộc tấn công từ chối dịch vụ. Khi được cấu hình, các tùy chọn này có thể giảm nguy cơ thực hiện cho các máy chủ có thẩm quyền và cũng tránh được sự cạn kiệt tài nguyên do các đệ quy đệ quy khi chúng đang được sử dụng như một phương tiện cho một cuộc tấn công như vậy. LƯU Ý: Các tùy chọn này không khả dụng theo mặc định; sử dụng configure --enable-fetchlimit để bao gồm chúng trong build. + fetches-per-server giới hạn số lượng các truy vấn đồng thời có thể được gửi đến bất kỳ máy chủ độc quyền nào. Giá trị được cấu hình là một điểm khởi đầu; nó sẽ tự động điều chỉnh xuống nếu máy chủ là một phần hoặc không hoàn toàn đáp ứng. Thuật toán được sử dụng để điều chỉnh hạn ngạch có thể được cấu hình thông qua tùy chọn tìm nạp-quota-params. + fetches-per-zone giới hạn số lượng truy vấn đồng thời có thể được gửi cho các tên trong một tên miền. (Lưu ý: Không giống như "fetches-per-server", giá trị này không tự điều chỉnh.) Các quầy thống kê cũng đã được thêm vào để theo dõi số truy vấn bị ảnh hưởng bởi các hạn ngạch này.
- dig + ednsflags bây giờ có thể được sử dụng để đặt cờ EDNS chưa được xác định trong các yêu cầu DNS.
- đào + [không] ednsnegotiation bây giờ có thể được sử dụng cho phép / vô hiệu hóa phiên bản EDNS thương lượng.
- Thiết lập chuyển đổi cấu hình truy vấn query-to-query được hiện đang có sẵn để cho phép tracelogging truy vấn verbose. Tùy chọn này chỉ có thể được đặt ở thời gian biên dịch. Tùy chọn này có tác động tiêu cực và chỉ được sử dụng để gỡ lỗi.
- Tính năng Thay đổi:
- Thay đổi nội dung đăng ký lớn sẽ ít gây rối hơn. Thế hệ chữ ký bây giờ được thực hiện tăng dần; số lượng chữ ký được tạo ra trong mỗi lượng tử được kiểm soát bởi "chữ ký ký chữ ký số;". [RT # 37927]
- Phần mở rộng SIT thử nghiệm bây giờ sử dụng điểm mã lựa chọn bánh ngọt EDNS COOKIE (10) và được hiển thị là "COOKIE:". Các chỉ thị tên.conf hiện có; "sit-secret" và "nosit-udp-size", vẫn còn giá trị và sẽ được thay thế bằng "send-cookie", "cookie-secret" và "nocookie-udp-size" trong BIND 9.11 . Chỉ thị "+ ngồi" hiện có vẫn hợp lệ và sẽ được thay thế bằng "+ cookie" trong BIND 9.11.
- Khi thử lại truy vấn qua TCP do câu trả lời đầu tiên bị cắt ngắn, đào bây giờ sẽ gửi chính xác giá trị COOKIE trả về bởi máy chủ trong phản hồi trước. [RT # 39047]
- Truy xuất phạm vi cổng cục bộ từ net.ipv4.ip_local_port_range trên Linux hiện đã được hỗ trợ.
- Tên Active Directory của biểu mẫu gc._msdcs. hiện đã được chấp nhận làm tên máy chủ hợp lệ khi sử dụng tùy chọn check-names. vẫn còn hạn chế đối với chữ cái, chữ số và dấu nối.
- Tên có chứa văn bản đã được chấp nhận là tên máy chủ hợp lệ trong bản ghi PTR trong các vùng tra cứu ngược DNS-SD, như được chỉ định trong RFC 6763. [RT # 37889]
- Sửa lỗi:
- Tải vùng không đồng bộ không được xử lý chính xác khi tải vùng đã được tiến hành; điều này có thể kích hoạt một tai nạn trong zt.c. [RT # 37573]
- Cuộc chạy đua trong khi tắt máy hoặc cấu hình lại có thể gây ra sự khẳng định thất bại trong mem.c. [RT # 38979]
- Một số tùy chọn định dạng câu trả lời không hoạt động chính xác với dig + short. [RT # 39291]
- Các bản ghi không đúng định dạng của một số loại, bao gồm cả NSAP và UNSPEC, có thể kích hoạt các sự cố khẳng định khi tải các tệp tin văn bản. [RT # 40274] [RT # 40285]
- Đã khắc phục sự cố tai nạn có thể xảy ra trong ratelimiter.c do thông báo NOTIFY đang được xóa khỏi hàng đợi trình hạn chế tốc độ sai. [RT # 40350]
- Lệnh rrset mặc định của ngẫu nhiên được áp dụng không nhất quán. [RT # 40456]
- Câu trả lời BADVERS từ máy chủ tên có thẩm quyền bị hỏng không được xử lý chính xác. [RT # 40427]
- Một số lỗi đã được khắc phục trong quá trình thực hiện RPZ: + Các vùng chính sách không đặc biệt yêu cầu đệ quy có thể được xem như đã làm; do đó, thiết lập qname-wait-recurse no; đôi khi đôi khi không hiệu quả. Điều này đã được sửa chữa. Trong hầu hết các cấu hình, thay đổi hành vi do sửa chữa này sẽ không được chú ý. [RT # 39229] + Máy chủ có thể sụp đổ nếu các khu vực chính sách được cập nhật (ví dụ: thông qua rndc reload hoặc chuyển vùng đến) trong khi xử lý RPZ vẫn đang tiếp diễn cho một truy vấn đang hoạt động. [RT # 39415] + Trên các máy chủ có một hoặc nhiều vùng chính sách được cấu hình dưới dạng nô lệ, nếu một khu vực chính sách được cập nhật trong quá trình hoạt động thường xuyên (chứ không phải lúc khởi động) bằng cách sử dụng tải lại toàn bộ khu vực, chẳng hạn như qua AXFR, một lỗi có thể cho phép tóm tắt RPZ dữ liệu bị rơi ra khỏi đồng bộ, có khả năng dẫn đến sự thất bại khẳng định trong rpz.c khi đã thực hiện thêm các cập nhật gia tăng cho vùng, chẳng hạn như thông qua IXFR. [RT # 39567] + Máy chủ có thể so khớp một tiền tố ngắn hơn những gì đã có sẵn trong các trình kích hoạt chính sách của CLIENT-IP, và do đó, một hành động bất ngờ có thể được thực hiện. Điều này đã được sửa chữa. [RT # 39481] + Máy chủ có thể sụp đổ nếu một gói RPZ khởi động lại trong khi tải lại cùng một khu vực đã được tiến hành.[RT # 39649] + Tên truy vấn có thể khớp với chính sách sai nếu có biểu ghi ký tự đại diện. [RT # 40357]
Tính năng mới trong phiên bản 9.11.2:
Tính năng mới trong phiên bản 9.11.1-P3:
Tính năng mới trong phiên bản 9.11.1-P1:
Tính năng mới trong phiên bản 9.11.1:
Tính năng mới trong phiên bản 9.11.0-P2:
Tính năng mới trong phiên bản 9.11.0-P1:
Tính năng mới trong phiên bản 9.11.0:
Tính năng mới trong phiên bản 9.10.4-P3:
Bình luận không