BIND

BIND (Berkeley Internet Adı Alanı), Alan Adı Sistemi (DNS) protokollerinin açık kaynaklı bir uygulamasını dağıtan bir komut satırı UNIX yazılımıdır. DNS sunucularının düzgün çalışıp çalışmadığını test etmek ve doğrulamak için bir çözümleyici kitaplığı, "named" adı verilen bir sunucu / daemon ve yazılım araçlarından oluşur.

Başlangıçta Berkeley'de Kaliforniya Üniversitesi'nde yazılmış olan BIND, Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, ABD Savunma Bilişim Sistemleri Kurumu, USENIX Derneği, Process Software Corporation, Nominum, ve Stichting NLNet & ndash; NLNet Vakfı.

Belirtildiği gibi, BIND, bir alan adı sistemi sunucusundan, alan adı sistem çözümleyici kitaplığından ve sunucuları test etmek için kullanılan yazılım araçlarından oluşur. DNS sunucusu uygulaması, resmi DNS protokol standartlarında belirtilen kuralları kullanarak alınan tüm soruları yanıtlamakla görevli iken, DNS çözümleyici kitaplığı alan adlarıyla ilgili soruları çözer.

Desteklenen işletim sistemleri

BIND, GNU / Linux platformu için özel olarak tasarlanmıştır ve Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, openSUSE, Mageia gibi Linux'un herhangi bir dağıtımıyla iyi çalışmalıdır. Ve bircok digerleri. Hem 32 bit hem de 64 bit komut kümesi mimarilerini desteklemektedir.

Proje, kullanıcıları yazılımlarını donanım platformu ve işletim sistemi için optimize etmelerine izin veren BIND kaynak kodunu içeren tek bir evrensel tarball olarak dağıtılır (yukarıdaki tabloları desteklenen işletim sistemleri ve mimariler için bulabilirsiniz).

Yenilikler :

• Yeniden yönlendirme araması yerine bir yerel bölge veya DLZ gibi yerel bir yetkili veri kaynağından yeniden yönlendirme ad alanına sunulmuşsa, nxdomain-redirect özelliğinde bir kodlama hatası bir onaylama işlemi başarısızlığına neden olabilir. Bu kusur CVE-2016-9778'de açıklanmıştır. [RT # 43837]
• Adlandırılmış bir İddiama başarısızlığı tetikleyen RRSIG'ler eksik olan yetki bölümlerine yanlış yön verebilir. Bu kusur CVE-2016-9444'te açıklanmıştır. [RT # 43632]
• Adlandırılmış, RRSIG kayıtlarını kapsayan, istenen veriler olmadan bir onaylama işlemi başarısızlığına neden olan bazı yanıtları yanlış kullanmıştır. Bu kusur CVE-2016-9147'de açıklanmıştır. [RT # 43548]
• Adlandırma, yanlış bir sınıf uyumsuzluğu olduğunda bir onaylama işlemi başarısızlığı tetikleyebilecek TKEY kayıtlarını önbelleğe almaya çalıştı. Bu kusur CVE-2016-9131'de açıklanmıştır. [RT # 43522]
• Bir yanıt işlenirken iddiaların tetiklenmesi mümkündür. Bu kusur CVE-2016-8864'de açıklanmıştır. [RT # 43465]

9.11.2 sürümünde

yenilikler :

• Yeniden yönlendirme araması yerine bir yerel bölge veya DLZ gibi yerel bir yetkili veri kaynağından yeniden yönlendirme ad alanına sunulmuşsa, nxdomain-redirect özelliğinde bir kodlama hatası bir onaylama işlemi başarısızlığına neden olabilir. Bu kusur CVE-2016-9778'de açıklanmıştır. [RT # 43837]
• Adlandırılmış bir İddiama başarısızlığı tetikleyen RRSIG'ler eksik olan yetki bölümlerine yanlış yön verebilir. Bu kusur CVE-2016-9444'te açıklanmıştır. [RT # 43632]
• Adlandırılmış, RRSIG kayıtlarını kapsayan, istenen veriler olmadan bir onaylama işlemi başarısızlığına neden olan bazı yanıtları yanlış kullanmıştır. Bu kusur CVE-2016-9147'de açıklanmıştır. [RT # 43548]
• Adlandırma, yanlış bir sınıf uyumsuzluğu olduğunda bir onaylama işlemi başarısızlığı tetikleyebilecek TKEY kayıtlarını önbelleğe almaya çalıştı. Bu kusur CVE-2016-9131'de açıklanmıştır. [RT # 43522]
• Bir yanıt işlenirken iddiaların tetiklenmesi mümkündür. Bu kusur CVE-2016-8864'de açıklanmıştır. [RT # 43465]

9.11.1-P3 sürümünde

yenilikler :

• Yeniden yönlendirme araması yerine bir yerel bölge veya DLZ gibi yerel bir yetkili veri kaynağından yeniden yönlendirme ad alanına sunulmuşsa, nxdomain-redirect özelliğinde bir kodlama hatası bir onaylama işlemi başarısızlığına neden olabilir. Bu kusur CVE-2016-9778'de açıklanmıştır. [RT # 43837]
• Adlandırılmış bir İddiama başarısızlığı tetikleyen RRSIG'ler eksik olan yetki bölümlerine yanlış yön verebilir. Bu kusur CVE-2016-9444'te açıklanmıştır. [RT # 43632]
• Adlandırılmış, RRSIG kayıtlarını kapsayan, istenen veriler olmadan bir onaylama işlemi başarısızlığına neden olan bazı yanıtları yanlış kullanmıştır. Bu kusur CVE-2016-9147'de açıklanmıştır. [RT # 43548]
• Adlandırma, yanlış bir sınıf uyumsuzluğu olduğunda bir onaylama işlemi başarısızlığı tetikleyebilecek TKEY kayıtlarını önbelleğe almaya çalıştı. Bu kusur CVE-2016-9131'de açıklanmıştır. [RT # 43522]
• Bir yanıt işlenirken iddiaların tetiklenmesi mümkündür. Bu kusur CVE-2016-8864'de açıklanmıştır. [RT # 43465]

9.11.1-P1 sürümünde

yenilikler :

• Yeniden yönlendirme araması yerine bir yerel bölge veya DLZ gibi yerel bir yetkili veri kaynağından yeniden yönlendirme ad alanına sunulmuşsa, nxdomain-redirect özelliğinde bir kodlama hatası bir onaylama işlemi başarısızlığına neden olabilir. Bu kusur CVE-2016-9778'de açıklanmıştır. [RT # 43837]
• Adlandırılmış bir İddiama başarısızlığı tetikleyen RRSIG'ler eksik olan yetki bölümlerine yanlış yön verebilir. Bu kusur CVE-2016-9444'te açıklanmıştır. [RT # 43632]
• Adlandırılmış, RRSIG kayıtlarını kapsayan, istenen veriler olmadan bir onaylama işlemi başarısızlığına neden olan bazı yanıtları yanlış kullanmıştır. Bu kusur CVE-2016-9147'de açıklanmıştır. [RT # 43548]
• Adlandırma, yanlış bir sınıf uyumsuzluğu olduğunda bir onaylama işlemi başarısızlığı tetikleyebilecek TKEY kayıtlarını önbelleğe almaya çalıştı. Bu kusur CVE-2016-9131'de açıklanmıştır. [RT # 43522]
• Bir yanıt işlenirken iddiaların tetiklenmesi mümkündür. Bu kusur CVE-2016-8864'de açıklanmıştır. [RT # 43465]

9.11.1 sürümünde

yenilikler :

• Yeniden yönlendirme araması yerine bir yerel bölge veya DLZ gibi yerel bir yetkili veri kaynağından yeniden yönlendirme ad alanına sunulmuşsa, nxdomain-redirect özelliğinde bir kodlama hatası bir onaylama işlemi başarısızlığına neden olabilir. Bu kusur CVE-2016-9778'de açıklanmıştır. [RT # 43837]
• Adlandırılmış bir İddiama başarısızlığı tetikleyen RRSIG'ler eksik olan yetki bölümlerine yanlış yön verebilir. Bu kusur CVE-2016-9444'te açıklanmıştır. [RT # 43632]
• Adlandırılmış, RRSIG kayıtlarını kapsayan, istenen veriler olmadan bir onaylama işlemi başarısızlığına neden olan bazı yanıtları yanlış kullanmıştır. Bu kusur CVE-2016-9147'de açıklanmıştır. [RT # 43548]
• Adlandırma, yanlış bir sınıf uyumsuzluğu olduğunda bir onaylama işlemi başarısızlığı tetikleyebilecek TKEY kayıtlarını önbelleğe almaya çalıştı. Bu kusur CVE-2016-9131'de açıklanmıştır. [RT # 43522]
• Bir yanıt işlenirken iddiaların tetiklenmesi mümkündür. Bu kusur CVE-2016-8864'de açıklanmıştır. [RT # 43465]

9.11.0-P2 sürümünde

yenilikler :

• Yinelenen ad alanı, yerel bir bölge gibi yerel bir yetkili veri kaynağından veya özyinelemeli arama yoluyla bir DLZ'den sunulursa, nxdomain-redirect özelliğinde bir kodlama hatası bir onaylama işlemi başarısızlığına neden olabilir. Bu kusur CVE-2016-9778'de açıklanmıştır. [RT # 43837]
• Adlandırılmış bir İddiama başarısızlığı tetikleyen RRSIG'ler eksik olan yetki bölümlerine yanlış yön verebilir. Bu kusur CVE-2016-9444'te açıklanmıştır. [RT # 43632]
• Adlandırılmış, RRSIG kayıtlarını kapsayan, istenen veriler olmadan bir onaylama işlemi başarısızlığına neden olan bazı yanıtları yanlış kullanmıştır. Bu kusur CVE-2016-9147'de açıklanmıştır. [RT # 43548]
• Adlandırma, yanlış bir sınıf uyumsuzluğu olduğunda bir onaylama işlemi başarısızlığı tetikleyebilecek TKEY kayıtlarını önbelleğe almaya çalıştı. Bu kusur CVE-2016-9131'de açıklanmıştır. [RT # 43522]
• Bir yanıt işlenirken iddiaların tetiklenmesi mümkündür. Bu kusur CVE-2016-8864'de açıklanmıştır. [RT # 43465]

Yenilikler :

• Güvenlik Düzeltmeleri:
• OPENPGPKEY rdatatype'ındaki yanlış bir sınır denetimi bir onaylama işlemi başarısızlığı tetikleyebilir. Bu kusur CVE-2015-5986'da açıklanmıştır. [RT # 40286]
• Tampon muhasebe hatası, hatalı biçimlendirilmiş bazı DNSSEC anahtarlarını ayrıştırırken bir onaylama işlemi başarısızlığı tetikleyebilir. Bu kusur, Fuzzing Project'in Hanno Bock tarafından keşfedildi ve CVE-2015-5722'de açıklandı. [RT # 40212]
• Özel olarak hazırlanmış bir sorgu, message.c dosyasında bir onaylama isteği başarısızlığı tetikleyebilir. Bu kusur Jonathan Foote tarafından keşfedildi ve CVE-2015-5477'de açıklandı. [RT # 40046]
• DNSSEC doğrulama işlemini gerçekleştirmek için yapılandırılan sunucularda, özel olarak yapılandırılan bir sunucudaki yanıtlarda bir onaylama işlemi tetiklenebilir. Bu kusur Breno Silveira Soares tarafından keşfedildi ve CVE-2015-4620'de açıklandı. [RT # 39795]
• Yeni Özellikler:
• Yinelemeli çözümleyiciler tarafından hizmet reddi saldırıları yaşayan yetkili sunuculara gönderilen sorguları sınırlamak için yeni kotalar eklendi. Yapılandırıldığında, bu seçenekler hem yetkili sunuculara yapılan zararı azaltabilir hem de özyinelemeler tarafından bu tür bir saldırı için bir araç olarak kullanıldığında karşılaşabileceğiniz kaynak tükenmesini önleyebilir. NOT: Bu seçenekler varsayılan olarak kullanılamaz; bunları yapıya eklemek için configure --enable-fetchlimit komutunu kullanın. + Sunucuya getir seçeneği, tek bir yetkili sunucuya gönderilebilecek eşzamanlı sorguların sayısını sınırlar. Yapılandırılan değer bir başlangıç ​​noktasıdır; sunucu kısmen veya tamamen yanıt vermiyorsa otomatik olarak aşağıya ayarlanır. Kotayı ayarlamak için kullanılan algoritma, getirme-kota-params seçeneği ile yapılandırılabilir. + bölge başına getirimler, tek bir alan adı içindeki adlar için gönderilebilecek eşzamanlı sorguların sayısını sınırlar. (Not: "Sunucuya çekme" yerine bu değer kendi kendine ayarlanmıyor.) Bu kotalar tarafından etkilenen sorguların sayısını izlemek için istatistik sayaçları da eklendi.
• dig + ednsflags artık DNS isteklerinde henüz tanımlanamayan EDNS bayraklarını ayarlamak için kullanılabilir.
• dig + [no] ednsnegotiation artık EDNS sürüm müzakeresini etkinleştir / devre dışı bırakmak için kullanılabilir.
• --enable-querytrace yapılandırma anahtarı, çok ayrıntılı sorgu tracelogging özelliğini etkinleştirmek için kullanılabilir. Bu seçenek yalnızca derleme zamanında ayarlanabilir. Bu seçenek, performansı olumsuz etkiliyor ve yalnızca hata ayıklama için kullanılmalıdır.
• Özellik Değişiklikleri:
• Büyük satır içi imzalama değişiklikleri daha az yıkıcı olmalıdır. İmza oluşturma art arda yapılır; her kuantumda üretilecek imza sayısı "sig-imza-imzalar numarası" ile kontrol edilir. [RT # 37927]
• Deneysel SIT uzantısı şimdi EDNS COOKIE seçenek kod noktasını (10) kullanıyor ve "COOKIE:" olarak görüntüleniyor. Mevcut named.conf yönergeleri; "istek-otur", "otur-gizli" ve "nosit-udp-size" hala geçerli ve BIND 9.11'de "send-cookie", "cookie-secret" ve "nocookie-udp-size" ile değiştirilecektir . Var olan "+ sit" yönergesi halen geçerlidir ve BIND 9.11'de "+ çerez" ile değiştirilecektir.
• İlk yanıtın kesilmesi nedeniyle TCP üzerinden bir sorguyu yeniden denediğinizde, dig artık sunucu tarafından döndürülen COOKIE değerini önceki yanıtta doğru şekilde gönderecektir. [RT # 39047]
• Yerel bağlantı noktası aralığını Linux'ta net.ipv4.ip_local_port_range'den alma şu anda desteklenmektedir.
• gc._msdcs biçimindeki Active Directory adları. artık denetim adları seçeneğini kullanırken geçerli ana makine adları olarak kabul edilmektedir. harfler, rakamlar ve kısa çizgilerle hala sınırlıdır.
• Zengin metin içeren adlar şimdi RFC 6763'te belirtildiği gibi DNS-SD geriye doğru arama bölgelerindeki PTR kayıtlarında geçerli ana makine adları olarak kabul edilmektedir. [RT # 37889]
• Hata Düzeltmeleri:
• Zon yüklemesi devam ederken zaman uyumsuz bölge yükleri doğru bir şekilde ele alınmadı; bu, zt.c.'da bir kilitlenme oluşturabilir. [RT # 37573]
• Kapatma veya yeniden yapılandırma sırasındaki bir yarış, mem.c'de bir onaylama başarısızlığına neden olabilir. [RT # 38979]
• Bazı düzeltme biçimlendirme seçenekleri kazım + kısa ile doğru çalışmadı. [RT # 39291]
• Metin bölgesi dosyaları yüklenirken, NSAP ve UNSPEC de dahil olmak üzere bazı türdeki hatalı biçimlendirilmiş kayıtlar onaylama hatalarını tetikleyebilir. [RT # 40274] [RT # 40285]
• ratelimiter.c'de NOTIFY iletilerinin yanlış hız sınırlayıcı sırasından kaldırılmasına bağlı olarak olası bir kilitlenme düzeltildi. [RT # 40350]
• Rasgele varsayılan rrset sırası tutarsız olarak uygulandı. [RT # 40456]
• Kırılmış yetkili ad sunucularının BADVERS yanıtları doğru bir şekilde ele alınmadı. [RT # 40427]
<>RPZ uygulamasında çeşitli hatalar giderildi: + Özyineleme gerektirmeyen politika bölgeleri, sanki gibi davranıyor olabilir; Dolayısıyla qname-wait-recurse no; bazen etkisizdi. Bu düzeltildi. Çoğu yapılandırmada, bu düzeltmeden dolayı davranış değişiklikleri fark edilmeyecektir. [RT # 39229] + Poliçe bölgeleri güncellenirse (ör. Rndc yeniden yüklemesi veya gelen bölge aktarımı yoluyla), etkin bir sorgu için RPZ işlemi devam ederken sunucu çökebilir. [RT # 39415] + AXFR aracılığıyla gibi tam bölge yeniden yüklemesini kullanarak normal çalışma sırasında (başlangıçta değil) düzenli olarak bir ilke bölgesi güncellenmişse, köle olarak yapılandırılan bir veya daha fazla ilke bölgesi olan sunucularda bir hata, RPZ özetine izin verebilir verilerin senkronize edilememesi, potansiyel olarak bölgeye daha fazla artımlı güncelleme yapıldığında, örneğin IXFR aracılığıyla rpz.c'de bir onaylama başarısızlığına neden olur. [RT # 39567] + Sunucu CLIENT-IP ilke tetikleyicilerinde mevcut olanlardan daha kısa bir önekle eşleşebilir ve bu nedenle beklenmeyen bir işlem yapılabilir. Bu düzeltildi. [RT # 39481] + Bir bölgenin yeniden yüklenmesi halihazırda devam ederken bir RPZ bölgesinin yeniden yüklenmesi başlatıldığında sunucu çökebilir.

[RT # 39649] + Joker karakter kaydı mevcutsa, sorgu adları yanlış politika bölgesine eşleşebilir. [RT # 40357]

yenilikler :

• Güvenlik Düzeltmeleri:
• OPENPGPKEY rdatatype'ındaki yanlış bir sınır denetimi bir onaylama işlemi başarısızlığı tetikleyebilir. Bu kusur CVE-2015-5986'da açıklanmıştır. [RT # 40286]
• Tampon muhasebe hatası, hatalı biçimlendirilmiş bazı DNSSEC anahtarlarını ayrıştırırken bir onaylama işlemi başarısızlığı tetikleyebilir. Bu kusur, Fuzzing Project'in Hanno Bock tarafından keşfedildi ve CVE-2015-5722'de açıklandı. [RT # 40212]
• Özel olarak hazırlanmış bir sorgu, message.c dosyasında bir onaylama isteği başarısızlığı tetikleyebilir. Bu kusur Jonathan Foote tarafından keşfedildi ve CVE-2015-5477'de açıklandı. [RT # 40046]
• DNSSEC doğrulama işlemini gerçekleştirmek için yapılandırılan sunucularda, özel olarak yapılandırılan bir sunucudaki yanıtlarda bir onaylama işlemi tetiklenebilir. Bu kusur Breno Silveira Soares tarafından keşfedildi ve CVE-2015-4620'de açıklandı. [RT # 39795]
• Yeni Özellikler:
• Yinelemeli çözümleyiciler tarafından hizmet reddi saldırıları yaşayan yetkili sunuculara gönderilen sorguları sınırlamak için yeni kotalar eklendi. Yapılandırıldığında, bu seçenekler hem yetkili sunuculara yapılan zararı azaltabilir hem de özyinelemeler tarafından bu tür bir saldırı için bir araç olarak kullanıldığında karşılaşabileceğiniz kaynak tükenmesini önleyebilir. NOT: Bu seçenekler varsayılan olarak kullanılamaz; bunları yapıya eklemek için configure --enable-fetchlimit komutunu kullanın. + Sunucuya getir seçeneği, tek bir yetkili sunucuya gönderilebilecek eşzamanlı sorguların sayısını sınırlar. Yapılandırılan değer bir başlangıç ​​noktasıdır; sunucu kısmen veya tamamen yanıt vermiyorsa otomatik olarak aşağıya ayarlanır. Kotayı ayarlamak için kullanılan algoritma, getirme-kota-params seçeneği ile yapılandırılabilir. + bölge başına getirimler, tek bir alan adı içindeki adlar için gönderilebilecek eşzamanlı sorguların sayısını sınırlar. (Not: "Sunucuya çekme" yerine bu değer kendi kendine ayarlanmıyor.) Bu kotalar tarafından etkilenen sorguların sayısını izlemek için istatistik sayaçları da eklendi.
• dig + ednsflags artık DNS isteklerinde henüz tanımlanamayan EDNS bayraklarını ayarlamak için kullanılabilir.
• dig + [no] ednsnegotiation artık EDNS sürüm müzakeresini etkinleştir / devre dışı bırakmak için kullanılabilir.
• --enable-querytrace yapılandırma anahtarı, çok ayrıntılı sorgu tracelogging özelliğini etkinleştirmek için kullanılabilir. Bu seçenek yalnızca derleme zamanında ayarlanabilir. Bu seçenek, performansı olumsuz etkiliyor ve yalnızca hata ayıklama için kullanılmalıdır.
• Özellik Değişiklikleri:
• Büyük satır içi imzalama değişiklikleri daha az yıkıcı olmalıdır. İmza oluşturma art arda yapılır; her kuantumda üretilecek imza sayısı "sig-imza-imzalar numarası" ile kontrol edilir. [RT # 37927]
• Deneysel SIT uzantısı şimdi EDNS COOKIE seçenek kod noktasını (10) kullanıyor ve "COOKIE:" olarak görüntüleniyor. Mevcut named.conf yönergeleri; "istek-otur", "otur-gizli" ve "nosit-udp-size" hala geçerli ve BIND 9.11'de "send-cookie", "cookie-secret" ve "nocookie-udp-size" ile değiştirilecektir . Var olan "+ sit" yönergesi halen geçerlidir ve BIND 9.11'de "+ çerez" ile değiştirilecektir.
• İlk yanıtın kesilmesi nedeniyle TCP üzerinden bir sorguyu yeniden denediğinizde, dig artık sunucu tarafından döndürülen COOKIE değerini önceki yanıtta doğru şekilde gönderecektir. [RT # 39047]
• Yerel bağlantı noktası aralığını Linux'ta net.ipv4.ip_local_port_range'den alma şu anda desteklenmektedir.
• gc._msdcs biçimindeki Active Directory adları. artık denetim adları seçeneğini kullanırken geçerli ana makine adları olarak kabul edilmektedir. harfler, rakamlar ve kısa çizgilerle hala sınırlıdır.
• Zengin metin içeren adlar şimdi RFC 6763'te belirtildiği gibi DNS-SD geriye doğru arama bölgelerindeki PTR kayıtlarında geçerli ana makine adları olarak kabul edilmektedir. [RT # 37889]
• Hata Düzeltmeleri:
• Zon yüklemesi devam ederken zaman uyumsuz bölge yükleri doğru bir şekilde ele alınmadı; bu, zt.c.'da bir kilitlenme oluşturabilir. [RT # 37573]
• Kapatma veya yeniden yapılandırma sırasındaki bir yarış, mem.c'de bir onaylama başarısızlığına neden olabilir. [RT # 38979]
• Bazı düzeltme biçimlendirme seçenekleri kazım + kısa ile doğru çalışmadı. [RT # 39291]
• Metin bölgesi dosyaları yüklenirken, NSAP ve UNSPEC de dahil olmak üzere bazı türdeki hatalı biçimlendirilmiş kayıtlar onaylama hatalarını tetikleyebilir. [RT # 40274] [RT # 40285]
• ratelimiter.c'de NOTIFY iletilerinin yanlış hız sınırlayıcı sırasından kaldırılmasına bağlı olarak olası bir kilitlenme düzeltildi. [RT # 40350]
• Rasgele varsayılan rrset sırası tutarsız olarak uygulandı. [RT # 40456]
• Kırılmış yetkili ad sunucularının BADVERS yanıtları doğru bir şekilde ele alınmadı. [RT # 40427]
<>RPZ uygulamasında çeşitli hatalar giderildi: + Özyineleme gerektirmeyen politika bölgeleri, sanki gibi davranıyor olabilir; Dolayısıyla qname-wait-recurse no; bazen etkisizdi. Bu düzeltildi. Çoğu yapılandırmada, bu düzeltmeden dolayı davranış değişiklikleri fark edilmeyecektir. [RT # 39229] + Poliçe bölgeleri güncellenirse (ör. Rndc yeniden yüklemesi veya gelen bölge aktarımı yoluyla), etkin bir sorgu için RPZ işlemi devam ederken sunucu çökebilir. [RT # 39415] + AXFR aracılığıyla gibi tam bölge yeniden yüklemesini kullanarak normal çalışma sırasında (başlangıçta değil) düzenli olarak bir ilke bölgesi güncellenmişse, köle olarak yapılandırılan bir veya daha fazla ilke bölgesi olan sunucularda bir hata, RPZ özetine izin verebilir verilerin senkronize edilememesi, potansiyel olarak bölgeye daha fazla artımlı güncelleme yapıldığında, örneğin IXFR aracılığıyla rpz.c'de bir onaylama başarısızlığına neden olur. [RT # 39567] + Sunucu CLIENT-IP ilke tetikleyicilerinde mevcut olanlardan daha kısa bir önekle eşleşebilir ve bu nedenle beklenmeyen bir işlem yapılabilir. Bu düzeltildi. [RT # 39481] + Bir bölgenin yeniden yüklenmesi halihazırda devam ederken bir RPZ bölgesinin yeniden yüklenmesi başlatıldığında sunucu çökebilir.

[RT # 39649] + Joker karakter kaydı mevcutsa, sorgu adları yanlış politika bölgesine eşleşebilir. [RT # 40357]

yenilikler :

• Güvenlik Düzeltmeleri:
• OPENPGPKEY rdatatype'ındaki yanlış bir sınır denetimi bir onaylama işlemi başarısızlığı tetikleyebilir. Bu kusur CVE-2015-5986'da açıklanmıştır. [RT # 40286]
• Tampon muhasebe hatası, hatalı biçimlendirilmiş bazı DNSSEC anahtarlarını ayrıştırırken bir onaylama işlemi başarısızlığı tetikleyebilir. Bu kusur, Fuzzing Project'in Hanno Bock tarafından keşfedildi ve CVE-2015-5722'de açıklandı. [RT # 40212]
• Özel olarak hazırlanmış bir sorgu, message.c dosyasında bir onaylama isteği başarısızlığı tetikleyebilir. Bu kusur Jonathan Foote tarafından keşfedildi ve CVE-2015-5477'de açıklandı. [RT # 40046]
• DNSSEC doğrulama işlemini gerçekleştirmek için yapılandırılan sunucularda, özel olarak yapılandırılan bir sunucudaki yanıtlarda bir onaylama işlemi tetiklenebilir. Bu kusur Breno Silveira Soares tarafından keşfedildi ve CVE-2015-4620'de açıklandı. [RT # 39795]
• Yeni Özellikler:
• Yinelemeli çözümleyiciler tarafından hizmet reddi saldırıları yaşayan yetkili sunuculara gönderilen sorguları sınırlamak için yeni kotalar eklendi. Yapılandırıldığında, bu seçenekler hem yetkili sunuculara yapılan zararı azaltabilir hem de özyinelemeler tarafından bu tür bir saldırı için bir araç olarak kullanıldığında karşılaşabileceğiniz kaynak tükenmesini önleyebilir. NOT: Bu seçenekler varsayılan olarak kullanılamaz; bunları yapıya eklemek için configure --enable-fetchlimit komutunu kullanın. + Sunucuya getir seçeneği, tek bir yetkili sunucuya gönderilebilecek eşzamanlı sorguların sayısını sınırlar. Yapılandırılan değer bir başlangıç ​​noktasıdır; sunucu kısmen veya tamamen yanıt vermiyorsa otomatik olarak aşağıya ayarlanır. Kotayı ayarlamak için kullanılan algoritma, getirme-kota-params seçeneği ile yapılandırılabilir. + bölge başına getirimler, tek bir alan adı içindeki adlar için gönderilebilecek eşzamanlı sorguların sayısını sınırlar. (Not: "Sunucuya çekme" yerine bu değer kendi kendine ayarlanmıyor.) Bu kotalar tarafından etkilenen sorguların sayısını izlemek için istatistik sayaçları da eklendi.
• dig + ednsflags artık DNS isteklerinde henüz tanımlanamayan EDNS bayraklarını ayarlamak için kullanılabilir.
• dig + [no] ednsnegotiation artık EDNS sürüm müzakeresini etkinleştir / devre dışı bırakmak için kullanılabilir.
• --enable-querytrace yapılandırma anahtarı, çok ayrıntılı sorgu tracelogging özelliğini etkinleştirmek için kullanılabilir. Bu seçenek yalnızca derleme zamanında ayarlanabilir. Bu seçenek, performansı olumsuz etkiliyor ve yalnızca hata ayıklama için kullanılmalıdır.
• Özellik Değişiklikleri:
• Büyük satır içi imzalama değişiklikleri daha az yıkıcı olmalıdır. İmza oluşturma art arda yapılır; her kuantumda üretilecek imza sayısı "sig-imza-imzalar numarası" ile kontrol edilir. [RT # 37927]
• Deneysel SIT uzantısı şimdi EDNS COOKIE seçenek kod noktasını (10) kullanıyor ve "COOKIE:" olarak görüntüleniyor. Mevcut named.conf yönergeleri; "istek-otur", "otur-gizli" ve "nosit-udp-size" hala geçerli ve BIND 9.11'de "send-cookie", "cookie-secret" ve "nocookie-udp-size" ile değiştirilecektir . Var olan "+ sit" yönergesi halen geçerlidir ve BIND 9.11'de "+ çerez" ile değiştirilecektir.
• İlk yanıtın kesilmesi nedeniyle TCP üzerinden bir sorguyu yeniden denediğinizde, dig artık sunucu tarafından döndürülen COOKIE değerini önceki yanıtta doğru şekilde gönderecektir. [RT # 39047]
• Yerel bağlantı noktası aralığını Linux'ta net.ipv4.ip_local_port_range'den alma şu anda desteklenmektedir.
• gc._msdcs biçimindeki Active Directory adları. artık denetim adları seçeneğini kullanırken geçerli ana makine adları olarak kabul edilmektedir. harfler, rakamlar ve kısa çizgilerle hala sınırlıdır.
• Zengin metin içeren adlar şimdi RFC 6763'te belirtildiği gibi DNS-SD geriye doğru arama bölgelerindeki PTR kayıtlarında geçerli ana makine adları olarak kabul edilmektedir. [RT # 37889]
• Hata Düzeltmeleri:
• Zon yüklemesi devam ederken zaman uyumsuz bölge yükleri doğru bir şekilde ele alınmadı; bu, zt.c.'da bir kilitlenme oluşturabilir. [RT # 37573]
• Kapatma veya yeniden yapılandırma sırasındaki bir yarış, mem.c'de bir onaylama başarısızlığına neden olabilir. [RT # 38979]
• Bazı düzeltme biçimlendirme seçenekleri kazım + kısa ile doğru çalışmadı. [RT # 39291]
• Metin bölgesi dosyaları yüklenirken, NSAP ve UNSPEC de dahil olmak üzere bazı türdeki hatalı biçimlendirilmiş kayıtlar onaylama hatalarını tetikleyebilir. [RT # 40274] [RT # 40285]
• ratelimiter.c'de NOTIFY iletilerinin yanlış hız sınırlayıcı sırasından kaldırılmasına bağlı olarak olası bir kilitlenme düzeltildi. [RT # 40350]
• Rasgele varsayılan rrset sırası tutarsız olarak uygulandı. [RT # 40456]
• Kırılmış yetkili ad sunucularının BADVERS yanıtları doğru bir şekilde ele alınmadı. [RT # 40427]
<>RPZ uygulamasında çeşitli hatalar giderildi: + Özyineleme gerektirmeyen politika bölgeleri, sanki gibi davranıyor olabilir; Dolayısıyla qname-wait-recurse no; bazen etkisizdi. Bu düzeltildi. Çoğu yapılandırmada, bu düzeltmeden dolayı davranış değişiklikleri fark edilmeyecektir. [RT # 39229] + Poliçe bölgeleri güncellenirse (ör. Rndc yeniden yüklemesi veya gelen bölge aktarımı yoluyla), etkin bir sorgu için RPZ işlemi devam ederken sunucu çökebilir. [RT # 39415] + AXFR aracılığıyla gibi tam bölge yeniden yüklemesini kullanarak normal çalışma sırasında (başlangıçta değil) düzenli olarak bir ilke bölgesi güncellenmişse, köle olarak yapılandırılan bir veya daha fazla ilke bölgesi olan sunucularda bir hata, RPZ özetine izin verebilir verilerin senkronize edilememesi, potansiyel olarak bölgeye daha fazla artımlı güncelleme yapıldığında, örneğin IXFR aracılığıyla rpz.c'de bir onaylama başarısızlığına neden olur. [RT # 39567] + Sunucu CLIENT-IP ilke tetikleyicilerinde mevcut olanlardan daha kısa bir önekle eşleşebilir ve bu nedenle beklenmeyen bir işlem yapılabilir. Bu düzeltildi. [RT # 39481] + Bir bölgenin yeniden yüklenmesi halihazırda devam ederken bir RPZ bölgesinin yeniden yüklenmesi başlatıldığında sunucu çökebilir.[RT # 39649] + Joker karakter kayıtları varsa sorgu adları yanlış politika bölgesine eşleşebilir. [RT # 40357]