BIND

Screenshot Λογισμικό:
BIND
Στοιχεία Λογισμικού:
Εκδοχή: 9.11.2-P1 επικαιροποιημένο
Ανεβάστε ημερομηνία: 20 Jan 18
Προγραμματιστής: ISC Software
Άδεια: Δωρεάν
Δημοτικότητα: 47

Rating: 4.0/5 (Total Votes: 1)

Το BIND (Berkeley Internet Name Domain) είναι ένα λογισμικό UNIX γραμμής εντολών που διανέμει μια εφαρμογή ανοιχτού κώδικα των πρωτοκόλλων του συστήματος ονομάτων τομέα (DNS). Αποτελείται από μια βιβλιοθήκη αναλυτή, έναν διακομιστή / δαίμονα που ονομάζεται `named ', καθώς και εργαλεία λογισμικού για τη δοκιμή και την επαλήθευση της σωστής λειτουργίας των διακομιστών DNS.

Αρχικά γραπτή στο Πανεπιστήμιο της Καλιφόρνια στο Μπέρκλεϊ, η BIND αναλήφθηκε από πολυάριθμες οργανώσεις, όπως Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, US Defense Systems, USENIX Association, και Stichting NLNet & ndash; Ίδρυμα NLNet.


Τι περιλαμβάνεται;

Όπως αναφέρθηκε, το BIND περιλαμβάνει ένα διακομιστή συστήματος ονόματος τομέα, μια βιβλιοθήκη αναλυτή συστήματος ονόματος τομέα και εργαλεία λογισμικού για τη δοκιμή διακομιστών. Ενώ η υλοποίηση του διακομιστή DNS είναι υπεύθυνη για την απάντηση σε όλες τις ληφθείσες ερωτήσεις χρησιμοποιώντας τους κανόνες που αναφέρονται στα επίσημα πρότυπα πρωτοκόλλου DNS, η βιβλιοθήκη αναλυτή DNS επιλύει ερωτήσεις σχετικά με τα ονόματα τομέα.

Υποστηριζόμενα λειτουργικά συστήματα

Το BIND έχει σχεδιαστεί ειδικά για την πλατφόρμα GNU / Linux και θα πρέπει να λειτουργεί καλά με οποιαδήποτε διανομή του Linux, συμπεριλαμβανομένων των Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, και πολλοί άλλοι. Υποστηρίζει αρχιτεκτονικές συνόλων 32-bit και 64-bit.

Το έργο διανέμεται ως ενιαίο, καθολικό tarball που περιλαμβάνει τον πηγαίο κώδικα του BIND, επιτρέποντας στους χρήστες να βελτιστοποιούν το λογισμικό για την πλατφόρμα υλικού και το λειτουργικό τους σύστημα (βλ. παραπάνω για υποστηριζόμενα λειτουργικά συστήματα και αρχιτεκτονικές).

p>

Τι νέο υπάρχει σε αυτήν την έκδοση:

  • Ένα σφάλμα κωδικοποίησης στη λειτουργία nxdomain-ανακατεύθυνση θα μπορούσε να οδηγήσει σε αποτυχία διαπίστωσης εάν ο χώρος ονομάτων ανακατεύθυνσης προβλήθηκε από μια τοπική πηγή έγκυρων δεδομένων, όπως μια τοπική ζώνη ή μια DLZ, αντί μέσω αναδρομικής αναζήτησης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9778. [RT # 43837]
  • Ονομασμένος θα μπορούσε να κακοποιήσει τα τμήματα αρχών που έλειπαν RRSIGs που προκαλούν αποτυχία ισχυρισμού. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9444. [RT # 43632]
  • Ο όρος Named έχει χειριστεί κάποιες απαντήσεις όπου επιστρέφουν τα αρχεία RRSIG επιστρέφονται χωρίς τα απαιτούμενα δεδομένα που έχουν ως αποτέλεσμα την αποτυχία του ισχυρισμού. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9147. [RT # 43548]
  • Το όνομα που ονομάστηκε εσφαλμένα προσπάθησε να αποθηκεύσει προσωρινά τις εγγραφές TKEY, οι οποίες θα μπορούσαν να προκαλέσουν αποτυχία ισχυρισμού όταν υπήρξε ασυμμετρία τάξης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9131. [RT # 43522]
  • Ήταν δυνατή η ενεργοποίηση ισχυρισμών κατά την επεξεργασία μιας απάντησης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-8864. [RT # 43465]

Τι νέο υπάρχει στην έκδοση 9.11.2:

  • Ένα σφάλμα κωδικοποίησης στη λειτουργία nxdomain-ανακατεύθυνση θα μπορούσε να οδηγήσει σε αποτυχία διαπίστωσης εάν ο χώρος ονομάτων ανακατεύθυνσης προβλήθηκε από μια τοπική πηγή έγκυρων δεδομένων, όπως μια τοπική ζώνη ή μια DLZ, αντί μέσω αναδρομικής αναζήτησης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9778. [RT # 43837]
  • Ονομασμένος θα μπορούσε να κακοποιήσει τα τμήματα αρχών που έλειπαν RRSIGs που προκαλούν αποτυχία ισχυρισμού. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9444. [RT # 43632]
  • Ο όρος Named έχει χειριστεί κάποιες απαντήσεις όπου επιστρέφουν τα αρχεία RRSIG επιστρέφονται χωρίς τα απαιτούμενα δεδομένα που έχουν ως αποτέλεσμα την αποτυχία του ισχυρισμού. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9147. [RT # 43548]
  • Το όνομα που ονομάστηκε εσφαλμένα προσπάθησε να αποθηκεύσει προσωρινά τις εγγραφές TKEY, οι οποίες θα μπορούσαν να προκαλέσουν αποτυχία ισχυρισμού όταν υπήρξε ασυμμετρία τάξης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9131. [RT # 43522]
  • Ήταν δυνατή η ενεργοποίηση ισχυρισμών κατά την επεξεργασία μιας απάντησης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-8864. [RT # 43465]

Τι νέο υπάρχει στην έκδοση 9.11.1-P3:

  • Ένα σφάλμα κωδικοποίησης στη λειτουργία nxdomain-ανακατεύθυνση θα μπορούσε να οδηγήσει σε αποτυχία διαπίστωσης εάν ο χώρος ονομάτων ανακατεύθυνσης προβλήθηκε από μια τοπική πηγή έγκυρων δεδομένων, όπως μια τοπική ζώνη ή μια DLZ, αντί μέσω αναδρομικής αναζήτησης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9778. [RT # 43837]
  • Ονομασμένος θα μπορούσε να κακοποιήσει τα τμήματα αρχών που έλειπαν RRSIGs που προκαλούν αποτυχία ισχυρισμού. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9444. [RT # 43632]
  • Ο όρος Named έχει χειριστεί κάποιες απαντήσεις όπου επιστρέφουν τα αρχεία RRSIG επιστρέφονται χωρίς τα απαιτούμενα δεδομένα που έχουν ως αποτέλεσμα την αποτυχία του ισχυρισμού. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9147. [RT # 43548]
  • Το όνομα που ονομάστηκε εσφαλμένα προσπάθησε να αποθηκεύσει προσωρινά τις εγγραφές TKEY, οι οποίες θα μπορούσαν να προκαλέσουν αποτυχία ισχυρισμού όταν υπήρξε ασυμμετρία τάξης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9131. [RT # 43522]
  • Ήταν δυνατή η ενεργοποίηση ισχυρισμών κατά την επεξεργασία μιας απάντησης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-8864. [RT # 43465]

Τι νέο υπάρχει στην έκδοση 9.11.1-P1:

  • Ένα σφάλμα κωδικοποίησης στη λειτουργία nxdomain-ανακατεύθυνση θα μπορούσε να οδηγήσει σε αποτυχία διαπίστωσης εάν ο χώρος ονομάτων ανακατεύθυνσης προβλήθηκε από μια τοπική πηγή έγκυρων δεδομένων, όπως μια τοπική ζώνη ή μια DLZ, αντί μέσω αναδρομικής αναζήτησης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9778. [RT # 43837]
  • Ονομασμένος θα μπορούσε να κακοποιήσει τα τμήματα αρχών που έλειπαν RRSIGs που προκαλούν αποτυχία ισχυρισμού. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9444. [RT # 43632]
  • Ο όρος Named έχει χειριστεί κάποιες απαντήσεις όπου επιστρέφουν τα αρχεία RRSIG επιστρέφονται χωρίς τα απαιτούμενα δεδομένα που έχουν ως αποτέλεσμα την αποτυχία του ισχυρισμού. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9147. [RT # 43548]
  • Το όνομα που ονομάστηκε εσφαλμένα προσπάθησε να αποθηκεύσει προσωρινά τις εγγραφές TKEY, οι οποίες θα μπορούσαν να προκαλέσουν αποτυχία ισχυρισμού όταν υπήρξε ασυμμετρία τάξης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9131. [RT # 43522]
  • Ήταν δυνατή η ενεργοποίηση ισχυρισμών κατά την επεξεργασία μιας απάντησης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-8864. [RT # 43465]

Τι νέο υπάρχει στην έκδοση 9.11.1:

  • Ένα σφάλμα κωδικοποίησης στη λειτουργία nxdomain-ανακατεύθυνση θα μπορούσε να οδηγήσει σε αποτυχία διαπίστωσης εάν ο χώρος ονομάτων ανακατεύθυνσης προβλήθηκε από μια τοπική πηγή έγκυρων δεδομένων, όπως μια τοπική ζώνη ή μια DLZ, αντί μέσω αναδρομικής αναζήτησης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9778. [RT # 43837]
  • Ονομασμένος θα μπορούσε να κακοποιήσει τα τμήματα αρχών που έλειπαν RRSIGs που προκαλούν αποτυχία ισχυρισμού. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9444. [RT # 43632]
  • Ο όρος Named έχει χειριστεί κάποιες απαντήσεις όπου επιστρέφουν τα αρχεία RRSIG επιστρέφονται χωρίς τα απαιτούμενα δεδομένα που έχουν ως αποτέλεσμα την αποτυχία του ισχυρισμού. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9147. [RT # 43548]
  • Το όνομα που ονομάστηκε εσφαλμένα προσπάθησε να αποθηκεύσει προσωρινά τις εγγραφές TKEY, οι οποίες θα μπορούσαν να προκαλέσουν αποτυχία ισχυρισμού όταν υπήρξε ασυμμετρία τάξης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9131. [RT # 43522]
  • Ήταν δυνατή η ενεργοποίηση ισχυρισμών κατά την επεξεργασία μιας απάντησης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-8864. [RT # 43465]

Τι νέο υπάρχει στην έκδοση 9.11.0-P2:

  • Ένα σφάλμα κωδικοποίησης στη λειτουργία nxdomain-ανακατεύθυνση θα μπορούσε να οδηγήσει σε αποτυχία διαπίστωσης εάν ο χώρος ονομάτων ανακατεύθυνσης προβλήθηκε από μια τοπική πηγή έγκυρων δεδομένων, όπως μια τοπική ζώνη ή μια DLZ, αντί μέσω αναδρομικής αναζήτησης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9778. [RT # 43837]
  • Ονομασμένος θα μπορούσε να κακοποιήσει τα τμήματα αρχών που έλειπαν RRSIGs που προκαλούν αποτυχία ισχυρισμού. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9444. [RT # 43632]
  • Ο όρος Named έχει χειριστεί κάποιες απαντήσεις όπου επιστρέφουν τα αρχεία RRSIG επιστρέφονται χωρίς τα απαιτούμενα δεδομένα που έχουν ως αποτέλεσμα την αποτυχία του ισχυρισμού. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9147. [RT # 43548]
  • Το όνομα που ονομάστηκε εσφαλμένα προσπάθησε να αποθηκεύσει προσωρινά τις εγγραφές TKEY, οι οποίες θα μπορούσαν να προκαλέσουν αποτυχία ισχυρισμού όταν υπήρξε ασυμμετρία τάξης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-9131. [RT # 43522]
  • Ήταν δυνατή η ενεργοποίηση ισχυρισμών κατά την επεξεργασία μιας απάντησης. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2016-8864. [RT # 43465]

Τι νέο υπάρχει στην έκδοση 9.11.0-P1:

  • Διορθώσεις ασφαλείας:
  • Ένας λανθασμένος έλεγχος ορίων στο ratatatype OPENPGPKEY θα μπορούσε να προκαλέσει βλάβη σε ισχυρισμό. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2015-5986. [RT # 40286]
  • Ένα σφάλμα λογισμικού προσωρινής αποθήκευσης μπορεί να προκαλέσει αστοχία κατά την ανίχνευση ορισμένων εσφαλμένων κλειδιών DNSSEC. Αυτό το ελάττωμα ανακαλύφθηκε από τον Hanno Bock του έργου Fuzzing και αποκαλύπτεται στο CVE-2015-5722. [RT # 40212]
  • Ένα ειδικά σχεδιασμένο ερώτημα θα μπορούσε να προκαλέσει αποτυχία ισχυρισμού στο message.c. Αυτό το ελάττωμα ανακαλύφθηκε από τον Jonathan Foote και αποκαλύπτεται στο CVE-2015-5477. [RT # 40046]
  • Σε διακομιστές που έχουν ρυθμιστεί ώστε να εκτελούν επικύρωση DNSSEC, θα μπορούσε να ενεργοποιηθεί μια αποτυχία ισχυρισμού σχετικά με τις απαντήσεις από έναν ειδικά διαμορφωμένο διακομιστή. Αυτό το ελάττωμα ανακαλύφθηκε από τον Breno Silveira Soares και αποκαλύπτεται στο CVE-2015-4620. [RT # 39795]
  • Νέες δυνατότητες:
  • Έχουν προστεθεί νέες ποσοστώσεις για τον περιορισμό των ερωτημάτων που αποστέλλονται από τους αναδρομικούς ανιχνευτές σε έγκυρους διακομιστές που αντιμετωπίζουν επιθέσεις άρνησης εξυπηρέτησης. Όταν διαμορφώνονται, αυτές οι επιλογές μπορούν τόσο να μειώσουν τη βλάβη που προκαλείται στους έγκυρους διακομιστές όσο και να αποφύγουν την εξάντληση των πόρων που μπορεί να βιώσουν οι αναδρομικοί όταν χρησιμοποιούνται ως όχημα για μια τέτοια επίθεση. ΣΗΜΕΙΩΣΗ: Αυτές οι επιλογές δεν είναι διαθέσιμες από προεπιλογή. χρησιμοποιήστε configure -enable-fetchlimit για να τις συμπεριλάβετε στο build. + fetches-per-server περιορίζει τον αριθμό των ταυτόχρονων ερωτημάτων που μπορούν να σταλούν σε οποιοδήποτε μοναδικό διακομιστή. Η διαμορφωμένη τιμή είναι ένα σημείο εκκίνησης. ρυθμίζεται αυτόματα προς τα κάτω εάν ο διακομιστής δεν ανταποκρίνεται εν μέρει ή εντελώς. Ο αλγόριθμος που χρησιμοποιείται για την προσαρμογή της ποσόστωσης μπορεί να ρυθμιστεί μέσω της επιλογής παραμέτρων παραμέτρων fetch-params. + fetches ανά ζώνη περιορίζει τον αριθμό των ταυτόχρονων ερωτημάτων που μπορούν να σταλούν για ονόματα εντός ενός μόνο τομέα. (Σημείωση: Σε αντίθεση με το "fetches-per-server", αυτή η τιμή δεν είναι αυτορυθμιζόμενη.) Έχουν επίσης προστεθεί στατιστικοί μετρητές για τον εντοπισμό του αριθμού των ερωτημάτων που επηρεάζονται από αυτές τις ποσοστώσεις.
  • dig + ednsflags μπορούν πλέον να χρησιμοποιηθούν για να ορίσετε τις αιτήσεις EDNS που είναι ακόμα καθορισμένες σε αιτήσεις DNS.
  • dig + [no] διαπραγμάτευση μπορεί τώρα να χρησιμοποιηθεί ενεργοποίηση / απενεργοποίηση διαπραγμάτευσης έκδοσης EDNS.
  • Διακόπτης διαμόρφωσης -enable-querytrace είναι πλέον διαθέσιμος για την ενεργοποίηση πολύ λεπτομερούς επερώτησης ερωτήματος. Αυτή η επιλογή μπορεί να οριστεί μόνο κατά το χρόνο σύνταξης. Αυτή η επιλογή έχει αρνητικό αντίκτυπο στις επιδόσεις και θα πρέπει να χρησιμοποιείται μόνο για σφάλμα.
  • Αλλαγές χαρακτηριστικών:
  • Οι μεγάλες αλλαγές εισόδου-υπογραφής πρέπει να είναι λιγότερο διαταραγμένες. Η δημιουργία της υπογραφής γίνεται πλέον διαδοχικά. ο αριθμός των υπογραφών που παράγονται σε κάθε κβάντο ελέγχεται από τον "sig-signing-signature number". [RT # 37927]
  • Η πειραματική επέκταση SIT χρησιμοποιεί πλέον το σημείο κωδικού επιλογής EDNS COOKIE (10) και εμφανίζεται ως "COOKIE:". Οι υπάρχουσες οδηγίες name.conf. "request-sit", "sit-secret" και "nosit-udp-size" εξακολουθούν να ισχύουν και θα αντικατασταθούν από τα "send-cookie", "cookie-secret" και "nocookie-udp-size" . Η υπάρχουσα οδηγία "+ sit" εξακολουθεί να ισχύει και θα αντικατασταθεί με το "+ cookie" στο BIND 9.11.
  • Κατά την επανάληψη μιας ερώτησης μέσω του TCP λόγω της αποκοπής της πρώτης απάντησης, το dig θα αποστείλει σωστά την τιμή COOKIE που επέστρεψε ο διακομιστής στην προηγούμενη απάντηση. [RT # 39047]
  • Η ανάκτηση της περιοχής τοπικής θύρας από το net.ipv4.ip_local_port_range στο Linux υποστηρίζεται τώρα.
  • Ονόματα Active Directory της φόρμας gc._msdcs. είναι πλέον αποδεκτά ως έγκυρα ονόματα κεντρικού υπολογιστή όταν χρησιμοποιείτε την επιλογή ονομάτων ελέγχου. εξακολουθεί να περιορίζεται σε γράμματα, ψηφία και ενωτικά.
  • Τα ονόματα που περιέχουν πλούσιο κείμενο είναι πλέον αποδεκτά ως έγκυρα ονόματα κεντρικών υπολογιστών σε αρχεία PTR σε ζώνες αντίστροφης αναζήτησης DNS-SD, όπως καθορίζεται στο RFC 6763. [RT # 37889]
  • Διορθώσεις σφαλμάτων:
  • Τα φορτία ασύγχρονης ζώνης δεν χειρίστηκαν σωστά όταν το φορτίο ζώνης ήταν ήδη σε εξέλιξη. αυτό θα μπορούσε να προκαλέσει μια συντριβή σε zt.c. [RT # 37573]
  • Ο αγώνας κατά τη διάρκεια του τερματισμού λειτουργίας ή της επαναδιευθέτησης μπορεί να προκαλέσει βλάβη στο μ.σ. [RT # 38979]
  • Ορισμένες επιλογές μορφοποίησης απάντησης δεν λειτουργούσαν σωστά με το dig + σύντομο. [RT # 39291]
  • Οι λανθασμένες εγγραφές ορισμένων τύπων, συμπεριλαμβανομένων των NSAP και UNSPEC, θα μπορούσαν να προκαλέσουν αστοχίες κατά τη φόρτωση των αρχείων ζώνης κειμένου. [RT # 40274] [RT # 40285]
  • Διορθώθηκε μια πιθανή συντριβή στο ratelimiter.c που προκλήθηκε από τα μηνύματα NOTIFY που έχουν αφαιρεθεί από την ουρά περιοριστή λανθασμένου ρυθμού. [RT # 40350]
  • Η προεπιλεγμένη σειρά rrset των τυχαίων εφαρμόστηκε ασυνεπώς. [RT # 40456]
  • Οι αποκρίσεις BADVERS από κατεστραμμένους διακομιστές ονομάτων δεν είχαν αντιμετωπιστεί σωστά. [RT # 40427]
  • Αρκετά σφάλματα έχουν καθοριστεί στην εφαρμογή RPZ: + Ζώνες πολιτικής που δεν απαιτούν συγκεκριμένα υποτροπή θα μπορούσαν να αντιμετωπίζονται σαν να έκαναν. Κατά συνέπεια, ορίστε qname-wait-recurse όχι. ήταν μερικές φορές αναποτελεσματική. Αυτό έχει διορθωθεί. Στις περισσότερες διαμορφώσεις, οι αλλαγές συμπεριφοράς που οφείλονται σε αυτήν την επιδιόρθωση δεν θα είναι εμφανείς. [RT # 39229] + Ο διακομιστής θα μπορούσε να διακοπεί εάν οι ζώνες πολιτικής ενημερώνονταν (π.χ. μέσω rndc reload ή εισερχόμενης μεταφοράς ζώνης) ενώ η επεξεργασία RPZ ήταν ακόμα σε εξέλιξη για ένα ενεργό ερώτημα. [RT # 39415] + Σε διακομιστές με μία ή περισσότερες ζώνες πολιτικής που έχουν ρυθμιστεί ως σκλάβοι, εάν μια ζώνη πολιτικής που ενημερώθηκε κατά τη διάρκεια της κανονικής λειτουργίας (αντί της εκκίνησης) χρησιμοποιώντας πλήρη φόρτωση ζώνης, όπως μέσω AXFR, ένα σφάλμα θα μπορούσε να επιτρέψει την περίληψη RPZ τα δεδομένα να πέσουν εκτός συγχρονισμού, ενδεχομένως να οδηγήσουν σε αποτυχία ισχυρισμού στο rpz.c όταν έγιναν περαιτέρω αυξητικές ενημερώσεις στη ζώνη, όπως μέσω του IXFR. [RT # 39567] + Ο διακομιστής θα μπορούσε να ταιριάξει με ένα μικρότερο πρόθεμα από αυτό που ήταν διαθέσιμο στους ενεργοποιητές πολιτικών του CLIENT-IP, και έτσι θα μπορούσε να γίνει μια απροσδόκητη ενέργεια. Αυτό έχει διορθωθεί. [RT # 39481] + Ο διακομιστής θα μπορούσε να διακοπεί αν ξεκινήσει μια επαναφόρτωση μιας ζώνης RPZ ενώ μια άλλη επαναφόρτωση της ίδιας ζώνης ήταν ήδη σε εξέλιξη.

    [RT # 39649] + Τα ονόματα ερωτημάτων θα μπορούσαν να ταιριάζουν με τη λανθασμένη ζώνη πολιτικής, εάν υπήρχαν εγγραφές μπαλαντέρ. [RT # 40357]

Τι νέο υπάρχει στην έκδοση 9.11.0:

  • Διορθώσεις ασφαλείας:
  • Ένας λανθασμένος έλεγχος ορίων στο ratatatype OPENPGPKEY θα μπορούσε να προκαλέσει βλάβη σε ισχυρισμό. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2015-5986. [RT # 40286]
  • Ένα σφάλμα λογισμικού προσωρινής αποθήκευσης μπορεί να προκαλέσει αστοχία κατά την ανίχνευση ορισμένων εσφαλμένων κλειδιών DNSSEC. Αυτό το ελάττωμα ανακαλύφθηκε από τον Hanno Bock του έργου Fuzzing και αποκαλύπτεται στο CVE-2015-5722. [RT # 40212]
  • Ένα ειδικά σχεδιασμένο ερώτημα θα μπορούσε να προκαλέσει αποτυχία ισχυρισμού στο message.c. Αυτό το ελάττωμα ανακαλύφθηκε από τον Jonathan Foote και αποκαλύπτεται στο CVE-2015-5477. [RT # 40046]
  • Σε διακομιστές που έχουν ρυθμιστεί ώστε να εκτελούν επικύρωση DNSSEC, θα μπορούσε να ενεργοποιηθεί μια αποτυχία ισχυρισμού σχετικά με τις απαντήσεις από έναν ειδικά διαμορφωμένο διακομιστή. Αυτό το ελάττωμα ανακαλύφθηκε από τον Breno Silveira Soares και αποκαλύπτεται στο CVE-2015-4620. [RT # 39795]
  • Νέες δυνατότητες:
  • Έχουν προστεθεί νέες ποσοστώσεις για τον περιορισμό των ερωτημάτων που αποστέλλονται από τους αναδρομικούς ανιχνευτές σε έγκυρους διακομιστές που αντιμετωπίζουν επιθέσεις άρνησης εξυπηρέτησης. Όταν διαμορφώνονται, αυτές οι επιλογές μπορούν τόσο να μειώσουν τη βλάβη που προκαλείται στους έγκυρους διακομιστές όσο και να αποφύγουν την εξάντληση των πόρων που μπορεί να βιώσουν οι αναδρομικοί όταν χρησιμοποιούνται ως όχημα για μια τέτοια επίθεση. ΣΗΜΕΙΩΣΗ: Αυτές οι επιλογές δεν είναι διαθέσιμες από προεπιλογή. χρησιμοποιήστε configure -enable-fetchlimit για να τις συμπεριλάβετε στο build. + fetches-per-server περιορίζει τον αριθμό των ταυτόχρονων ερωτημάτων που μπορούν να σταλούν σε οποιοδήποτε μοναδικό διακομιστή. Η διαμορφωμένη τιμή είναι ένα σημείο εκκίνησης. ρυθμίζεται αυτόματα προς τα κάτω εάν ο διακομιστής δεν ανταποκρίνεται εν μέρει ή εντελώς. Ο αλγόριθμος που χρησιμοποιείται για την προσαρμογή της ποσόστωσης μπορεί να ρυθμιστεί μέσω της επιλογής παραμέτρων παραμέτρων fetch-params. + fetches ανά ζώνη περιορίζει τον αριθμό των ταυτόχρονων ερωτημάτων που μπορούν να σταλούν για ονόματα εντός ενός μόνο τομέα. (Σημείωση: Σε αντίθεση με το "fetches-per-server", αυτή η τιμή δεν είναι αυτορυθμιζόμενη.) Έχουν επίσης προστεθεί στατιστικοί μετρητές για τον εντοπισμό του αριθμού των ερωτημάτων που επηρεάζονται από αυτές τις ποσοστώσεις.
  • dig + ednsflags μπορούν πλέον να χρησιμοποιηθούν για να ορίσετε τις αιτήσεις EDNS που είναι ακόμα καθορισμένες σε αιτήσεις DNS.
  • dig + [no] διαπραγμάτευση μπορεί τώρα να χρησιμοποιηθεί ενεργοποίηση / απενεργοποίηση διαπραγμάτευσης έκδοσης EDNS.
  • Διακόπτης διαμόρφωσης -enable-querytrace είναι πλέον διαθέσιμος για την ενεργοποίηση πολύ λεπτομερούς επερώτησης ερωτήματος. Αυτή η επιλογή μπορεί να οριστεί μόνο κατά το χρόνο σύνταξης. Αυτή η επιλογή έχει αρνητικό αντίκτυπο στις επιδόσεις και θα πρέπει να χρησιμοποιείται μόνο για σφάλμα.
  • Αλλαγές χαρακτηριστικών:
  • Οι μεγάλες αλλαγές εισόδου-υπογραφής πρέπει να είναι λιγότερο διαταραγμένες. Η δημιουργία της υπογραφής γίνεται πλέον διαδοχικά. ο αριθμός των υπογραφών που παράγονται σε κάθε κβάντο ελέγχεται από τον "sig-signing-signature number". [RT # 37927]
  • Η πειραματική επέκταση SIT χρησιμοποιεί πλέον το σημείο κωδικού επιλογής EDNS COOKIE (10) και εμφανίζεται ως "COOKIE:". Οι υπάρχουσες οδηγίες name.conf. "request-sit", "sit-secret" και "nosit-udp-size" εξακολουθούν να ισχύουν και θα αντικατασταθούν από τα "send-cookie", "cookie-secret" και "nocookie-udp-size" . Η υπάρχουσα οδηγία "+ sit" εξακολουθεί να ισχύει και θα αντικατασταθεί με το "+ cookie" στο BIND 9.11.
  • Κατά την επανάληψη μιας ερώτησης μέσω του TCP λόγω της αποκοπής της πρώτης απάντησης, το dig θα αποστείλει σωστά την τιμή COOKIE που επέστρεψε ο διακομιστής στην προηγούμενη απάντηση. [RT # 39047]
  • Η ανάκτηση της περιοχής τοπικής θύρας από το net.ipv4.ip_local_port_range στο Linux υποστηρίζεται τώρα.
  • Ονόματα Active Directory της φόρμας gc._msdcs. είναι πλέον αποδεκτά ως έγκυρα ονόματα κεντρικού υπολογιστή όταν χρησιμοποιείτε την επιλογή ονομάτων ελέγχου. εξακολουθεί να περιορίζεται σε γράμματα, ψηφία και ενωτικά.
  • Τα ονόματα που περιέχουν πλούσιο κείμενο είναι πλέον αποδεκτά ως έγκυρα ονόματα κεντρικών υπολογιστών σε αρχεία PTR σε ζώνες αντίστροφης αναζήτησης DNS-SD, όπως καθορίζεται στο RFC 6763. [RT # 37889]
  • Διορθώσεις σφαλμάτων:
  • Τα φορτία ασύγχρονης ζώνης δεν χειρίστηκαν σωστά όταν το φορτίο ζώνης ήταν ήδη σε εξέλιξη. αυτό θα μπορούσε να προκαλέσει μια συντριβή σε zt.c. [RT # 37573]
  • Ο αγώνας κατά τη διάρκεια του τερματισμού λειτουργίας ή της επαναδιευθέτησης μπορεί να προκαλέσει βλάβη στο μ.σ. [RT # 38979]
  • Ορισμένες επιλογές μορφοποίησης απάντησης δεν λειτουργούσαν σωστά με το dig + σύντομο. [RT # 39291]
  • Οι λανθασμένες εγγραφές ορισμένων τύπων, συμπεριλαμβανομένων των NSAP και UNSPEC, θα μπορούσαν να προκαλέσουν αστοχίες κατά τη φόρτωση των αρχείων ζώνης κειμένου. [RT # 40274] [RT # 40285]
  • Διορθώθηκε μια πιθανή συντριβή στο ratelimiter.c που προκλήθηκε από τα μηνύματα NOTIFY που έχουν αφαιρεθεί από την ουρά περιοριστή λανθασμένου ρυθμού. [RT # 40350]
  • Η προεπιλεγμένη σειρά rrset των τυχαίων εφαρμόστηκε ασυνεπώς. [RT # 40456]
  • Οι αποκρίσεις BADVERS από κατεστραμμένους διακομιστές ονομάτων δεν είχαν αντιμετωπιστεί σωστά. [RT # 40427]
  • Αρκετά σφάλματα έχουν καθοριστεί στην εφαρμογή RPZ: + Ζώνες πολιτικής που δεν απαιτούν συγκεκριμένα υποτροπή θα μπορούσαν να αντιμετωπίζονται σαν να έκαναν. Κατά συνέπεια, ορίστε qname-wait-recurse όχι. ήταν μερικές φορές αναποτελεσματική. Αυτό έχει διορθωθεί. Στις περισσότερες διαμορφώσεις, οι αλλαγές συμπεριφοράς που οφείλονται σε αυτήν την επιδιόρθωση δεν θα είναι εμφανείς. [RT # 39229] + Ο διακομιστής θα μπορούσε να διακοπεί εάν οι ζώνες πολιτικής ενημερώνονταν (π.χ. μέσω rndc reload ή εισερχόμενης μεταφοράς ζώνης) ενώ η επεξεργασία RPZ ήταν ακόμα σε εξέλιξη για ένα ενεργό ερώτημα. [RT # 39415] + Σε διακομιστές με μία ή περισσότερες ζώνες πολιτικής που έχουν ρυθμιστεί ως σκλάβοι, εάν μια ζώνη πολιτικής που ενημερώθηκε κατά τη διάρκεια της κανονικής λειτουργίας (αντί της εκκίνησης) χρησιμοποιώντας πλήρη φόρτωση ζώνης, όπως μέσω AXFR, ένα σφάλμα θα μπορούσε να επιτρέψει την περίληψη RPZ τα δεδομένα να πέσουν εκτός συγχρονισμού, ενδεχομένως να οδηγήσουν σε αποτυχία ισχυρισμού στο rpz.c όταν έγιναν περαιτέρω αυξητικές ενημερώσεις στη ζώνη, όπως μέσω του IXFR. [RT # 39567] + Ο διακομιστής θα μπορούσε να ταιριάξει με ένα μικρότερο πρόθεμα από αυτό που ήταν διαθέσιμο στους ενεργοποιητές πολιτικών του CLIENT-IP, και έτσι θα μπορούσε να γίνει μια απροσδόκητη ενέργεια. Αυτό έχει διορθωθεί. [RT # 39481] + Ο διακομιστής θα μπορούσε να διακοπεί αν ξεκινήσει μια επαναφόρτωση μιας ζώνης RPZ ενώ μια άλλη επαναφόρτωση της ίδιας ζώνης ήταν ήδη σε εξέλιξη.

    [RT # 39649] + Τα ονόματα ερωτημάτων θα μπορούσαν να ταιριάζουν με τη λανθασμένη ζώνη πολιτικής, εάν υπήρχαν εγγραφές μπαλαντέρ. [RT # 40357]

Τι νέο υπάρχει στην έκδοση 9.10.4-P3:

  • Διορθώσεις ασφαλείας:
  • Ένας λανθασμένος έλεγχος ορίων στο ratatatype OPENPGPKEY θα μπορούσε να προκαλέσει βλάβη σε ισχυρισμό. Αυτό το ελάττωμα αποκαλύπτεται στο CVE-2015-5986. [RT # 40286]
  • Ένα σφάλμα λογισμικού προσωρινής αποθήκευσης μπορεί να προκαλέσει αστοχία κατά την ανίχνευση ορισμένων εσφαλμένων κλειδιών DNSSEC. Αυτό το ελάττωμα ανακαλύφθηκε από τον Hanno Bock του έργου Fuzzing και αποκαλύπτεται στο CVE-2015-5722. [RT # 40212]
  • Ένα ειδικά σχεδιασμένο ερώτημα θα μπορούσε να προκαλέσει αποτυχία ισχυρισμού στο message.c. Αυτό το ελάττωμα ανακαλύφθηκε από τον Jonathan Foote και αποκαλύπτεται στο CVE-2015-5477. [RT # 40046]
  • Σε διακομιστές που έχουν ρυθμιστεί ώστε να εκτελούν επικύρωση DNSSEC, θα μπορούσε να ενεργοποιηθεί μια αποτυχία ισχυρισμού σχετικά με τις απαντήσεις από έναν ειδικά διαμορφωμένο διακομιστή. Αυτό το ελάττωμα ανακαλύφθηκε από τον Breno Silveira Soares και αποκαλύπτεται στο CVE-2015-4620. [RT # 39795]
  • Νέες δυνατότητες:
  • Έχουν προστεθεί νέες ποσοστώσεις για τον περιορισμό των ερωτημάτων που αποστέλλονται από τους αναδρομικούς ανιχνευτές σε έγκυρους διακομιστές που αντιμετωπίζουν επιθέσεις άρνησης εξυπηρέτησης. Όταν διαμορφώνονται, αυτές οι επιλογές μπορούν τόσο να μειώσουν τη βλάβη που προκαλείται στους έγκυρους διακομιστές όσο και να αποφύγουν την εξάντληση των πόρων που μπορεί να βιώσουν οι αναδρομικοί όταν χρησιμοποιούνται ως όχημα για μια τέτοια επίθεση. ΣΗΜΕΙΩΣΗ: Αυτές οι επιλογές δεν είναι διαθέσιμες από προεπιλογή. χρησιμοποιήστε configure -enable-fetchlimit για να τις συμπεριλάβετε στο build. + fetches-per-server περιορίζει τον αριθμό των ταυτόχρονων ερωτημάτων που μπορούν να σταλούν σε οποιοδήποτε μοναδικό διακομιστή. Η διαμορφωμένη τιμή είναι ένα σημείο εκκίνησης. ρυθμίζεται αυτόματα προς τα κάτω εάν ο διακομιστής δεν ανταποκρίνεται εν μέρει ή εντελώς. Ο αλγόριθμος που χρησιμοποιείται για την προσαρμογή της ποσόστωσης μπορεί να ρυθμιστεί μέσω της επιλογής παραμέτρων παραμέτρων fetch-params. + fetches ανά ζώνη περιορίζει τον αριθμό των ταυτόχρονων ερωτημάτων που μπορούν να σταλούν για ονόματα εντός ενός μόνο τομέα. (Σημείωση: Σε αντίθεση με το "fetches-per-server", αυτή η τιμή δεν είναι αυτορυθμιζόμενη.) Έχουν επίσης προστεθεί στατιστικοί μετρητές για τον εντοπισμό του αριθμού των ερωτημάτων που επηρεάζονται από αυτές τις ποσοστώσεις.
  • dig + ednsflags μπορούν πλέον να χρησιμοποιηθούν για να ορίσετε τις αιτήσεις EDNS που είναι ακόμα καθορισμένες σε αιτήσεις DNS.
  • dig + [no] διαπραγμάτευση μπορεί τώρα να χρησιμοποιηθεί ενεργοποίηση / απενεργοποίηση διαπραγμάτευσης έκδοσης EDNS.
  • Διακόπτης διαμόρφωσης -enable-querytrace είναι πλέον διαθέσιμος για την ενεργοποίηση πολύ λεπτομερούς επερώτησης ερωτήματος. Αυτή η επιλογή μπορεί να οριστεί μόνο κατά το χρόνο σύνταξης. Αυτή η επιλογή έχει αρνητικό αντίκτυπο στις επιδόσεις και θα πρέπει να χρησιμοποιείται μόνο για σφάλμα.
  • Αλλαγές χαρακτηριστικών:
  • Οι μεγάλες αλλαγές εισόδου-υπογραφής πρέπει να είναι λιγότερο διαταραγμένες. Η δημιουργία της υπογραφής γίνεται πλέον διαδοχικά. ο αριθμός των υπογραφών που παράγονται σε κάθε κβάντο ελέγχεται από τον "sig-signing-signature number". [RT # 37927]
  • Η πειραματική επέκταση SIT χρησιμοποιεί πλέον το σημείο κωδικού επιλογής EDNS COOKIE (10) και εμφανίζεται ως "COOKIE:". Οι υπάρχουσες οδηγίες name.conf. "request-sit", "sit-secret" και "nosit-udp-size" εξακολουθούν να ισχύουν και θα αντικατασταθούν από τα "send-cookie", "cookie-secret" και "nocookie-udp-size" . Η υπάρχουσα οδηγία "+ sit" εξακολουθεί να ισχύει και θα αντικατασταθεί με το "+ cookie" στο BIND 9.11.
  • Κατά την επανάληψη μιας ερώτησης μέσω του TCP λόγω της αποκοπής της πρώτης απάντησης, το dig θα αποστείλει σωστά την τιμή COOKIE που επέστρεψε ο διακομιστής στην προηγούμενη απάντηση. [RT # 39047]
  • Η ανάκτηση της περιοχής τοπικής θύρας από το net.ipv4.ip_local_port_range στο Linux υποστηρίζεται τώρα.
  • Ονόματα Active Directory της φόρμας gc._msdcs. είναι πλέον αποδεκτά ως έγκυρα ονόματα κεντρικού υπολογιστή όταν χρησιμοποιείτε την επιλογή ονομάτων ελέγχου. εξακολουθεί να περιορίζεται σε γράμματα, ψηφία και ενωτικά.
  • Τα ονόματα που περιέχουν πλούσιο κείμενο είναι πλέον αποδεκτά ως έγκυρα ονόματα κεντρικών υπολογιστών σε αρχεία PTR σε ζώνες αντίστροφης αναζήτησης DNS-SD, όπως καθορίζεται στο RFC 6763. [RT # 37889]
  • Διορθώσεις σφαλμάτων:
  • Τα φορτία ασύγχρονης ζώνης δεν χειρίστηκαν σωστά όταν το φορτίο ζώνης ήταν ήδη σε εξέλιξη. αυτό θα μπορούσε να προκαλέσει μια συντριβή σε zt.c. [RT # 37573]
  • Ο αγώνας κατά τη διάρκεια του τερματισμού λειτουργίας ή της επαναδιευθέτησης μπορεί να προκαλέσει βλάβη στο μ.σ. [RT # 38979]
  • Ορισμένες επιλογές μορφοποίησης απάντησης δεν λειτουργούσαν σωστά με το dig + σύντομο. [RT # 39291]
  • Οι λανθασμένες εγγραφές ορισμένων τύπων, συμπεριλαμβανομένων των NSAP και UNSPEC, θα μπορούσαν να προκαλέσουν αστοχίες κατά τη φόρτωση των αρχείων ζώνης κειμένου. [RT # 40274] [RT # 40285]
  • Διορθώθηκε μια πιθανή συντριβή στο ratelimiter.c που προκλήθηκε από τα μηνύματα NOTIFY που έχουν αφαιρεθεί από την ουρά περιοριστή λανθασμένου ρυθμού. [RT # 40350]
  • Η προεπιλεγμένη σειρά rrset των τυχαίων εφαρμόστηκε ασυνεπώς. [RT # 40456]
  • Οι αποκρίσεις BADVERS από κατεστραμμένους διακομιστές ονομάτων δεν είχαν αντιμετωπιστεί σωστά. [RT # 40427]
  • Αρκετά σφάλματα έχουν καθοριστεί στην εφαρμογή RPZ: + Ζώνες πολιτικής που δεν απαιτούν συγκεκριμένα υποτροπή θα μπορούσαν να αντιμετωπίζονται σαν να έκαναν. Κατά συνέπεια, ορίστε qname-wait-recurse όχι. ήταν μερικές φορές αναποτελεσματική. Αυτό έχει διορθωθεί. Στις περισσότερες διαμορφώσεις, οι αλλαγές συμπεριφοράς που οφείλονται σε αυτήν την επιδιόρθωση δεν θα είναι εμφανείς. [RT # 39229] + Ο διακομιστής θα μπορούσε να διακοπεί εάν οι ζώνες πολιτικής ενημερώνονταν (π.χ. μέσω rndc reload ή εισερχόμενης μεταφοράς ζώνης) ενώ η επεξεργασία RPZ ήταν ακόμα σε εξέλιξη για ένα ενεργό ερώτημα. [RT # 39415] + Σε διακομιστές με μία ή περισσότερες ζώνες πολιτικής που έχουν ρυθμιστεί ως σκλάβοι, εάν μια ζώνη πολιτικής που ενημερώθηκε κατά τη διάρκεια της κανονικής λειτουργίας (αντί της εκκίνησης) χρησιμοποιώντας πλήρη φόρτωση ζώνης, όπως μέσω AXFR, ένα σφάλμα θα μπορούσε να επιτρέψει την περίληψη RPZ τα δεδομένα να πέσουν εκτός συγχρονισμού, ενδεχομένως να οδηγήσουν σε αποτυχία ισχυρισμού στο rpz.c όταν έγιναν περαιτέρω αυξητικές ενημερώσεις στη ζώνη, όπως μέσω του IXFR. [RT # 39567] + Ο διακομιστής θα μπορούσε να ταιριάξει με ένα μικρότερο πρόθεμα από αυτό που ήταν διαθέσιμο στους ενεργοποιητές πολιτικών του CLIENT-IP, και έτσι θα μπορούσε να γίνει μια απροσδόκητη ενέργεια. Αυτό έχει διορθωθεί. [RT # 39481] + Ο διακομιστής θα μπορούσε να διακοπεί αν ξεκινήσει μια επαναφόρτωση μιας ζώνης RPZ ενώ μια άλλη επαναφόρτωση της ίδιας ζώνης ήταν ήδη σε εξέλιξη.[RT # 39649] + Τα ονόματα ερωτημάτων θα μπορούσαν να ταιριάζουν με τη λανθασμένη ζώνη πολιτικής εάν υπήρχαν εγγραφές μπαλαντέρ. [RT # 40357]

Παρόμοια λογισμικά

DNSSEC-Tools
DNSSEC-Tools

12 May 15

DynDNS
DynDNS

3 Jun 15

dnspython
dnspython

14 Apr 15

Σχόλια για BIND

Τα σχόλια δεν βρέθηκε
προσθήκη σχολίου
Ενεργοποιήστε τις εικόνες!
Αναζήτηση ανά κατηγορία