BIND (Berkeley Internet Name Domain) este un software UNIX de linie de comandă care distribuie o aplicație open source a protocoalelor DNS (Domain Name System). Acesta este alcătuit dintr-o bibliotecă de rezolvatori, un server / daemon numit "named", precum și unelte software pentru testarea și verificarea funcționării corecte a serverelor DNS.
Inițial scris la Universitatea California din Berkeley, BIND a fost subscris de numeroase organizații, printre care Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, US Defense Information Systems Agency, Asociația USENIX, Process Software Corporation, și Stichting NLNet & ndash; NLNet Foundation.
Care sunt incluse?
După cum sa menționat, BIND cuprinde un server de nume de domeniu, o bibliotecă de rezolvare a numelui de nume de domeniu și instrumente software pentru testarea serverelor. În timp ce implementarea serverului DNS este responsabilă pentru a răspunde la toate întrebările primite, utilizând regulile menționate în standardele oficiale de protocol DNS, biblioteca de rezolvare a DNS rezolvă întrebări cu privire la numele de domenii.
Sisteme de operare acceptate
BIND a fost conceput special pentru platforma GNU / Linux și ar trebui să funcționeze bine cu orice distribuție de Linux, inclusiv Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Linux, Slackware, Gentoo, și multe altele. Acesta acceptă atât arhitecturi de seturi de instrucțiuni pe 32 de biți, cât și pe 64 de biți.
Proiectul este distribuit ca un singur tarball universal, care include codul sursă al BIND, permițând utilizatorilor să optimizeze software-ul pentru platforma lor hardware și sistemul de operare (vezi mai sus pentru OSes și arhitecturi suportate).
p>Ce este nou în această versiune:
- O eroare de codificare în caracteristica nxdomain-redirecționare ar putea duce la o eșuare a afirmației dacă spațiile de nume redirecționate au fost difuzate de la o sursă de date autoritară locală, cum ar fi o zonă locală sau un DLZ în loc de căutare recursivă. Acest defect este dezvăluit în documentul CVE-2016-9778. [RT # 43837]
- Numit ar putea să contravină secțiunilor de autoritate care lipsesc din RRSIG care declanșează o eșec al aserțiunii. Acest defect este dezvăluit în documentul CVE-2016-9444. [RT # 43632]
- Numit în mod necorespunzător unele răspunsuri în cazul în care se acoperă înregistrările RRSIG sunt returnate fără datele solicitate rezultând într-o eșec al afirmației. Acest defect este dezvăluit în documentul CVE-2016-9147. [RT # 43548]
- Numit incorect a încercat să cacheze înregistrările TKEY care ar putea declanșa o eșec al aserțiunii atunci când a existat o nepotrivire de clasă. Acest defect este dezvăluit în documentul CVE-2016-9131. [RT # 43522]
- A fost posibilă declanșarea afirmațiilor atunci când se procesează un răspuns. Acest defect este descris în documentul CVE-2016-8864. [RT # 43465]
Ce este nou în versiunea 9.11.2:
- O eroare de codificare în caracteristica nxdomain-redirecționare ar putea duce la o eșuare a afirmației dacă spațiile de nume redirecționate au fost difuzate de la o sursă de date autoritară locală, cum ar fi o zonă locală sau un DLZ în loc de căutare recursivă. Acest defect este dezvăluit în documentul CVE-2016-9778. [RT # 43837]
- Numit ar putea să contravină secțiunilor de autoritate care lipsesc din RRSIG care declanșează o eșec al aserțiunii. Acest defect este dezvăluit în documentul CVE-2016-9444. [RT # 43632]
- Numit în mod necorespunzător unele răspunsuri în cazul în care se acoperă înregistrările RRSIG sunt returnate fără datele solicitate rezultând într-o eșec al afirmației. Acest defect este dezvăluit în documentul CVE-2016-9147. [RT # 43548]
- Numit incorect a încercat să cacheze înregistrările TKEY care ar putea declanșa o eșec al aserțiunii atunci când a existat o nepotrivire de clasă. Acest defect este dezvăluit în documentul CVE-2016-9131. [RT # 43522]
- A fost posibilă declanșarea afirmațiilor atunci când se procesează un răspuns. Acest defect este descris în documentul CVE-2016-8864. [RT # 43465]
Ce este nou în versiunea 9.11.1-P3:
- O eroare de codificare în caracteristica nxdomain-redirecționare ar putea duce la o eșuare a afirmației dacă spațiile de nume redirecționate au fost difuzate de la o sursă de date autoritară locală, cum ar fi o zonă locală sau un DLZ în loc de căutare recursivă. Acest defect este dezvăluit în documentul CVE-2016-9778. [RT # 43837]
- Numit ar putea să contravină secțiunilor de autoritate care lipsesc din RRSIG care declanșează o eșec al aserțiunii. Acest defect este dezvăluit în documentul CVE-2016-9444. [RT # 43632]
- Numit în mod necorespunzător unele răspunsuri în cazul în care se acoperă înregistrările RRSIG sunt returnate fără datele solicitate rezultând într-o eșec al afirmației. Acest defect este dezvăluit în documentul CVE-2016-9147. [RT # 43548]
- Numit incorect a încercat să cacheze înregistrările TKEY care ar putea declanșa o eșec al aserțiunii atunci când a existat o nepotrivire de clasă. Acest defect este dezvăluit în documentul CVE-2016-9131. [RT # 43522]
- A fost posibilă declanșarea afirmațiilor atunci când se procesează un răspuns. Acest defect este descris în documentul CVE-2016-8864. [RT # 43465]
Ce este nou în versiunea 9.11.1-P1:
- O eroare de codificare în caracteristica nxdomain-redirecționare ar putea duce la o eșuare a afirmației dacă spațiile de nume redirecționate au fost difuzate de la o sursă de date autoritară locală, cum ar fi o zonă locală sau un DLZ în loc de căutare recursivă. Acest defect este dezvăluit în documentul CVE-2016-9778. [RT # 43837]
- Numit ar putea să contravină secțiunilor de autoritate care lipsesc din RRSIG care declanșează o eșec al aserțiunii. Acest defect este dezvăluit în documentul CVE-2016-9444. [RT # 43632]
- Numit în mod necorespunzător unele răspunsuri în cazul în care se acoperă înregistrările RRSIG sunt returnate fără datele solicitate rezultând într-o eșec al afirmației. Acest defect este dezvăluit în documentul CVE-2016-9147. [RT # 43548]
- Numit incorect a încercat să cacheze înregistrările TKEY care ar putea declanșa o eșec al aserțiunii atunci când a existat o nepotrivire de clasă. Acest defect este dezvăluit în documentul CVE-2016-9131. [RT # 43522]
- A fost posibilă declanșarea afirmațiilor atunci când se procesează un răspuns. Acest defect este descris în documentul CVE-2016-8864. [RT # 43465]
Ce este nou în versiunea 9.11.1:
- O eroare de codificare în caracteristica nxdomain-redirecționare ar putea duce la o eșuare a afirmației dacă spațiile de nume redirecționate au fost difuzate de la o sursă de date autoritară locală, cum ar fi o zonă locală sau un DLZ în loc de căutare recursivă. Acest defect este dezvăluit în documentul CVE-2016-9778. [RT # 43837]
- Numit ar putea să contravină secțiunilor de autoritate care lipsesc din RRSIG care declanșează o eșec al aserțiunii. Acest defect este dezvăluit în documentul CVE-2016-9444. [RT # 43632]
- Numit în mod necorespunzător unele răspunsuri în cazul în care se acoperă înregistrările RRSIG sunt returnate fără datele solicitate rezultând într-o eșec al afirmației. Acest defect este dezvăluit în documentul CVE-2016-9147. [RT # 43548]
- Numit incorect a încercat să cacheze înregistrările TKEY care ar putea declanșa o eșec al aserțiunii atunci când a existat o nepotrivire de clasă. Acest defect este dezvăluit în documentul CVE-2016-9131. [RT # 43522]
- A fost posibilă declanșarea afirmațiilor atunci când se procesează un răspuns. Acest defect este descris în documentul CVE-2016-8864. [RT # 43465]
Ce este nou în versiunea 9.11.0-P2:
- O eroare de codificare în caracteristica nxdomain-redirecționare ar putea conduce la o eșec al aserțiunii dacă spațiile de nume redirecționate au fost difuzate de la o sursă de date autoritară locală, cum ar fi o zonă locală sau un DLZ în loc de căutare recursivă. Acest defect este dezvăluit în documentul CVE-2016-9778. [RT # 43837]
- Numit ar putea să contravină secțiunilor de autoritate care lipsesc din RRSIG care declanșează o eșec al aserțiunii. Acest defect este dezvăluit în documentul CVE-2016-9444. [RT # 43632]
- Numit în mod necorespunzător unele răspunsuri în cazul în care se acoperă înregistrările RRSIG sunt returnate fără datele solicitate rezultând într-o eșec al afirmației. Acest defect este dezvăluit în documentul CVE-2016-9147. [RT # 43548]
- Numit incorect a încercat să cacheze înregistrările TKEY care ar putea declanșa o eșec al aserțiunii atunci când a existat o nepotrivire de clasă. Acest defect este dezvăluit în documentul CVE-2016-9131. [RT # 43522]
- A fost posibilă declanșarea afirmațiilor atunci când se procesează un răspuns. Acest defect este descris în documentul CVE-2016-8864. [RT # 43465]
Ce este nou în versiunea 9.11.0-P1:
- Remedieri de securitate:
- O verificare incorectă a limitei în rata de date OPENPGPKEY ar putea declanșa o eroare de afirmație. Acest defect este dezvăluit în documentul CVE-2015-5986. [RT # 40286]
- O eroare contabilă tampon ar putea declanșa o eroare de afirmație la parsarea anumitor taste DNSSEC malformate. Acest defect a fost descoperit de Hanno Bock de la Proiectul Fuzzing și este dezvăluit în documentul CVE-2015-5722. [RT # 40212]
- O interogare special creată ar putea declanșa o eroare de afirmație în message.c. Acest defect a fost descoperit de Jonathan Foote și este descris în documentul CVE-2015-5477. [RT # 40046]
- Pe serverele configurate să efectueze validarea DNSSEC, ar putea fi declanșată o eroare de afirmație privind răspunsurile de la un server special configurat. Acest defect a fost descoperit de Breno Silveira Soares și este descris în documentul CVE-2015-4620. [RT # 39795]
- Caracteristici noi:
- Au fost adăugate cote noi pentru a limita interogările trimise de rezolvatori recursivi la serverele autoritare care se confruntă cu atacuri de tip "denial-of-service". Atunci când sunt configurate, aceste opțiuni pot reduce atât prejudiciul cauzat serverelor autoritare, cât și pentru a evita epuizarea resurselor pe care le pot avea experții recursivi când sunt folosiți ca vehicul pentru un astfel de atac. NOTĂ: aceste opțiuni nu sunt disponibile în mod implicit; utilizați configure -enable-fetchlimit pentru a le include în construcție. + transfer / server limitează numărul de interogări simultane care pot fi trimise către un singur server autoritar. Valoarea configurată este un punct de pornire; acesta este ajustat în mod automat în jos dacă serverul este parțial sau complet non-receptiv. Algoritmul utilizat pentru ajustarea cotei poate fi configurat prin opțiunea fetch-quota-params. + fetches-per-zone limitează numărul de interogări simultane care pot fi trimise pentru nume într-un singur domeniu. (Notă: Spre deosebire de "preluări pe server", această valoare nu se autoreglează.) Au fost, de asemenea, adăugați contoare statistice pentru a urmări numărul de interogări afectate de aceste cote.
- dig + ednsflags pot fi acum folosite pentru a seta steaguri EDNS definite încă de la început în cererile DNS.
- dig + [no] ednsnegotiation poate fi acum utilizat pentru a activa / dezactiva negocierea versiunii EDNS.
- Acum este disponibil un switch -enable-querytrace configure pentru a permite tracelogging-ul interogărilor foarte detaliate. Această opțiune poate fi setată numai la timpul de compilare. Această opțiune are un impact negativ asupra performanței și ar trebui utilizată numai pentru depanare.
- Modificări ale caracteristicilor:
- Schimbările mari de semnătură inline ar trebui să fie mai puțin perturbatoare. Generarea semnăturilor se face acum incremental; numărul de semnături care vor fi generate în fiecare cuantum este controlat de "sig-signing-signature number"; [RT # 37927]
- Extensia experimentală SIT folosește acum punctul codului de opțiune EDNS COOKIE (10) și este afișat ca "COOKIE:". Directivele named.conf existente; "request-sit", "sit-secret" și "nosit-udp-size" sunt încă valabile și vor fi înlocuite cu "send-cookie", "cookie-secret" și "nocookie-udp" . Directiva existentă "+ sit" este încă valabilă și va fi înlocuită cu "+ cookie" în BIND 9.11.
- Atunci când reîncercați o interogare prin TCP din cauza primului răspuns care este trunchiat, dig va trimite acum corect valoarea COOKIE returnată de server în răspunsul anterior. [RT # 39047]
- Returnați intervalul de port local din net.ipv4.ip_local_port_range pe Linux este acum acceptat.
- numele Active Directory al formularului gc._msdcs. sunt acum acceptate ca nume de gazdă valide atunci când se utilizează opțiunea check-names. este încă limitată la litere, cifre și cratime.
- Numele care conțin text îmbogățit sunt acum acceptate ca nume de gazde valide în înregistrările PTR în zonele de căutare inversă DNS-SD, așa cum se specifică în RFC 6763. [RT # 37889]
- Remedieri de erori:
- Încărcarea zonei asincrone nu a fost gestionată corect când încărcarea zonei era deja în curs; acest lucru ar putea declanșa un accident în zt.c. [RT # 37573]
- O cursă în timpul opririi sau reconfigurării poate provoca o eroare de afirmare în mem.c. [RT # 38979]
- Unele opțiuni de formatare a răspunsului nu au funcționat corect cu dig + scurt. [RT # 39291]
- Înregistrările incorecte ale unor tipuri, inclusiv NSAP și UNSPEC, ar putea declanșa eșecuri de afirmare la încărcarea fișierelor cu zone text. [RT # 40274] [RT # 40285]
- S-a stabilit un eventual accident în ratelimiter.c cauzat de mesajul NOTIFY eliminat din coada de limitare a ratei incorecte. [RT # 40350]
- Ordinea de întâmpinare implicită a aleatorie a fost aplicată inconsecvent. [RT # 40456]
- Răspunsurile BADVERS de la serverele de nume de autoritate rupte nu au fost tratate corect. [RT # 40427] <>Câteva bug-uri au fost reparate în implementarea RPZ: Zonele de politică care nu necesită în mod specific recursivitate ar putea fi tratate ca și cum ar face-o; în consecință, setarea qname-wait-recurse nu; a fost uneori ineficientă. Acest lucru a fost corectat. În majoritatea configurațiilor, modificările comportamentale datorate acestei remedii nu vor fi vizibile. [RT # 39229] + Serverul ar putea să se prăbușească dacă zonele de politică au fost actualizate (de exemplu, prin reîncărcare rndc sau un transfer de zonă de intrare), în timp ce procesarea RPZ era în curs de desfășurare pentru o interogare activă. [RT # 39415] + Pe serverele cu una sau mai multe zone de politici configurate ca sclavi, dacă o zonă de politică actualizată în timpul operării normale (mai degrabă decât la pornire) utilizând o reîncărcare completă a zonei, cum ar fi prin AXFR, o eroare ar putea permite rezumatul RPZ datele să nu se sincronizeze, ceea ce ar putea conduce la o eșec al afirmației în rpz.c atunci când s-au făcut noi actualizări incrementale în zonă, cum ar fi prin IXFR. [RT # 39567] + Serverul se poate potrivi cu un prefix mai scurt decât ceea ce era disponibil în declanșatoarele politicii CLIENT-IP și astfel s-ar putea lua o acțiune neașteptată. Acest lucru a fost corectat. [RT # 39481] + Serverul ar putea să se prăbușească dacă a fost inițiată o reîncărcare a unei zone RPZ în timp ce o altă încărcare din aceeași zonă era deja în desfășurare.
[RT # 39649] + Numele interogărilor s-ar putea potrivi cu zonele de politică greșite dacă ar fi existate înregistrări cu metacaractere. [RT # 40357]
Ce este nou în versiunea 9.11.0:
- Remedieri de securitate:
- O verificare incorectă a limitei în rata de date OPENPGPKEY ar putea declanșa o eroare de afirmație. Acest defect este dezvăluit în documentul CVE-2015-5986. [RT # 40286]
- O eroare contabilă tampon ar putea declanșa o eroare de afirmație la parsarea anumitor taste DNSSEC malformate. Acest defect a fost descoperit de Hanno Bock de la Proiectul Fuzzing și este dezvăluit în documentul CVE-2015-5722. [RT # 40212]
- O interogare special creată ar putea declanșa o eroare de afirmație în message.c. Acest defect a fost descoperit de Jonathan Foote și este descris în documentul CVE-2015-5477. [RT # 40046]
- Pe serverele configurate să efectueze validarea DNSSEC, ar putea fi declanșată o eroare de afirmație privind răspunsurile de la un server special configurat. Acest defect a fost descoperit de Breno Silveira Soares și este descris în documentul CVE-2015-4620. [RT # 39795]
- Caracteristici noi:
- Au fost adăugate cote noi pentru a limita interogările trimise de rezolvatori recursivi la serverele autoritare care se confruntă cu atacuri de tip "denial-of-service". Atunci când sunt configurate, aceste opțiuni pot reduce atât prejudiciul cauzat serverelor autoritare, cât și pentru a evita epuizarea resurselor pe care le pot avea experții recursivi când sunt folosiți ca vehicul pentru un astfel de atac. NOTĂ: aceste opțiuni nu sunt disponibile în mod implicit; utilizați configure -enable-fetchlimit pentru a le include în construcție. + transfer / server limitează numărul de interogări simultane care pot fi trimise către un singur server autoritar. Valoarea configurată este un punct de pornire; acesta este ajustat în mod automat în jos dacă serverul este parțial sau complet non-receptiv. Algoritmul utilizat pentru ajustarea cotei poate fi configurat prin opțiunea fetch-quota-params. + fetches-per-zone limitează numărul de interogări simultane care pot fi trimise pentru nume într-un singur domeniu. (Notă: Spre deosebire de "preluări pe server", această valoare nu se autoreglează.) Au fost, de asemenea, adăugați contoare statistice pentru a urmări numărul de interogări afectate de aceste cote.
- dig + ednsflags pot fi acum folosite pentru a seta steaguri EDNS definite încă de la început în cererile DNS.
- dig + [no] ednsnegotiation poate fi acum utilizat pentru a activa / dezactiva negocierea versiunii EDNS.
- Acum este disponibil un switch -enable-querytrace configure pentru a permite tracelogging-ul interogărilor foarte detaliate. Această opțiune poate fi setată numai la timpul de compilare. Această opțiune are un impact negativ asupra performanței și ar trebui utilizată numai pentru depanare.
- Modificări ale caracteristicilor:
- Schimbările mari de semnătură inline ar trebui să fie mai puțin perturbatoare. Generarea semnăturilor se face acum incremental; numărul de semnături care vor fi generate în fiecare cuantum este controlat de "sig-signing-signature number"; [RT # 37927]
- Extensia experimentală SIT folosește acum punctul codului de opțiune EDNS COOKIE (10) și este afișat ca "COOKIE:". Directivele named.conf existente; "request-sit", "sit-secret" și "nosit-udp-size" sunt încă valabile și vor fi înlocuite cu "send-cookie", "cookie-secret" și "nocookie-udp" . Directiva existentă "+ sit" este încă valabilă și va fi înlocuită cu "+ cookie" în BIND 9.11.
- Atunci când reîncercați o interogare prin TCP din cauza primului răspuns care este trunchiat, dig va trimite acum corect valoarea COOKIE returnată de server în răspunsul anterior. [RT # 39047]
- Returnați intervalul de port local din net.ipv4.ip_local_port_range pe Linux este acum acceptat.
- numele Active Directory al formularului gc._msdcs. sunt acum acceptate ca nume de gazdă valide atunci când se utilizează opțiunea check-names. este încă limitată la litere, cifre și cratime.
- Numele care conțin text îmbogățit sunt acum acceptate ca nume de gazde valide în înregistrările PTR în zonele de căutare inversă DNS-SD, așa cum se specifică în RFC 6763. [RT # 37889]
- Remedieri de erori:
- Încărcarea zonei asincrone nu a fost gestionată corect când încărcarea zonei era deja în curs; acest lucru ar putea declanșa un accident în zt.c. [RT # 37573]
- O cursă în timpul opririi sau reconfigurării poate provoca o eroare de afirmare în mem.c. [RT # 38979]
- Unele opțiuni de formatare a răspunsului nu au funcționat corect cu dig + scurt. [RT # 39291]
- Înregistrările incorecte ale unor tipuri, inclusiv NSAP și UNSPEC, ar putea declanșa eșecuri de afirmare la încărcarea fișierelor cu zone text. [RT # 40274] [RT # 40285]
- S-a stabilit un eventual accident în ratelimiter.c cauzat de mesajul NOTIFY eliminat din coada de limitare a ratei incorecte. [RT # 40350]
- Ordinea de întâmpinare implicită a aleatorie a fost aplicată inconsecvent. [RT # 40456]
- Răspunsurile BADVERS de la serverele de nume de autoritate rupte nu au fost tratate corect. [RT # 40427] <>Câteva bug-uri au fost reparate în implementarea RPZ: Zonele de politică care nu necesită în mod specific recursivitate ar putea fi tratate ca și cum ar face-o; în consecință, setarea qname-wait-recurse nu; a fost uneori ineficientă. Acest lucru a fost corectat. În majoritatea configurațiilor, modificările comportamentale datorate acestei remedii nu vor fi vizibile. [RT # 39229] + Serverul ar putea să se prăbușească dacă zonele de politică au fost actualizate (de exemplu, prin reîncărcare rndc sau un transfer de zonă de intrare), în timp ce procesarea RPZ era în curs de desfășurare pentru o interogare activă. [RT # 39415] + Pe serverele cu una sau mai multe zone de politici configurate ca sclavi, dacă o zonă de politică actualizată în timpul operării normale (mai degrabă decât la pornire) utilizând o reîncărcare completă a zonei, cum ar fi prin AXFR, o eroare ar putea permite rezumatul RPZ datele să nu se sincronizeze, ceea ce ar putea conduce la o eșec al afirmației în rpz.c atunci când s-au făcut noi actualizări incrementale în zonă, cum ar fi prin IXFR. [RT # 39567] + Serverul se poate potrivi cu un prefix mai scurt decât ceea ce era disponibil în declanșatoarele politicii CLIENT-IP și astfel s-ar putea lua o acțiune neașteptată. Acest lucru a fost corectat. [RT # 39481] + Serverul ar putea să se prăbușească dacă a fost inițiată o reîncărcare a unei zone RPZ în timp ce o altă încărcare din aceeași zonă era deja în desfășurare.
[RT # 39649] + Numele interogărilor s-ar putea potrivi cu zonele de politică greșite dacă ar fi existate înregistrări cu metacaractere. [RT # 40357]
Ce este nou în versiunea 9.10.4-P3:
- Remedieri de securitate:
- O verificare incorectă a limitei în rata de date OPENPGPKEY ar putea declanșa o eroare de afirmație. Acest defect este dezvăluit în documentul CVE-2015-5986. [RT # 40286]
- O eroare contabilă tampon ar putea declanșa o eroare de afirmație la parsarea anumitor taste DNSSEC malformate. Acest defect a fost descoperit de Hanno Bock de la Proiectul Fuzzing și este dezvăluit în documentul CVE-2015-5722. [RT # 40212]
- O interogare special creată ar putea declanșa o eroare de afirmație în message.c. Acest defect a fost descoperit de Jonathan Foote și este descris în documentul CVE-2015-5477. [RT # 40046]
- Pe serverele configurate să efectueze validarea DNSSEC, ar putea fi declanșată o eroare de afirmație privind răspunsurile de la un server special configurat. Acest defect a fost descoperit de Breno Silveira Soares și este descris în documentul CVE-2015-4620. [RT # 39795]
- Caracteristici noi:
- Au fost adăugate cote noi pentru a limita interogările trimise de rezolvatori recursivi la serverele autoritare care se confruntă cu atacuri de tip "denial-of-service". Atunci când sunt configurate, aceste opțiuni pot reduce atât prejudiciul cauzat serverelor autoritare, cât și pentru a evita epuizarea resurselor pe care recurentele le pot întâmpina atunci când sunt folosite ca vehicul pentru un astfel de atac. NOTĂ: aceste opțiuni nu sunt disponibile în mod implicit; utilizați configure -enable-fetchlimit pentru a le include în construcție. Fetches-per-server limitează numărul de interogări simultane care pot fi trimise către un singur server autoritar. Valoarea configurată este un punct de pornire; acesta este ajustat în mod automat în jos dacă serverul este parțial sau complet non-receptiv. Algoritmul utilizat pentru ajustarea cotei poate fi configurat prin opțiunea fetch-quota-params. + fetches-per-zone limitează numărul de interogări simultane care pot fi trimise pentru nume într-un singur domeniu. (Notă: Spre deosebire de "preluări pe server", această valoare nu se autoreglează.) De asemenea, au fost adăugate contoare de statistici pentru a urmări numărul de interogări afectate de aceste cote.
- dig + ednsflags pot fi acum folosite pentru a seta steaguri EDNS definite încă de la început în cererile DNS.
- dig + [no] ednsnegotiation poate fi acum utilizat pentru a activa / dezactiva negocierea versiunii EDNS.
- Acum este disponibil un switch -enable-querytrace configure pentru a permite tracelogging-ul interogărilor foarte detaliate. Această opțiune poate fi setată numai la timpul de compilare. Această opțiune are un impact negativ asupra performanței și ar trebui utilizată numai pentru depanare.
- Modificări ale caracteristicilor:
- Schimbările mari de semnătură inline ar trebui să fie mai puțin perturbatoare. Generarea semnăturilor se face acum incremental; numărul de semnături care vor fi generate în fiecare cuantum este controlat de "sig-signing-signature number"; [RT # 37927]
- Extensia experimentală SIT folosește acum punctul codului de opțiune EDNS COOKIE (10) și este afișat ca "COOKIE:". Directivele named.conf existente; "request-sit", "sit-secret" și "nosit-udp-size" sunt încă valabile și vor fi înlocuite cu "send cookie", "cookie-secret" și "nocookie-udp" . Directiva existentă "+ sit" este încă valabilă și va fi înlocuită cu "+ cookie" în BIND 9.11.
- Când reîncercați o interogare prin TCP din cauza primului răspuns care este trunchiat, dig va trimite acum corect valoarea COOKIE returnată de server în răspunsul anterior. [RT # 39047]
- Returnați intervalul de port local din net.ipv4.ip_local_port_range pe Linux este acum acceptat.
- numele Active Directory al formularului gc._msdcs. sunt acum acceptate ca nume de gazdă valide atunci când se utilizează opțiunea check-names. este încă limitată la litere, cifre și cratime.
- Numele care conțin text îmbogățit sunt acum acceptate ca nume de gazde valide în înregistrările PTR în zonele de căutare inversă DNS-SD, așa cum se specifică în RFC 6763. [RT # 37889]
- Remedieri de erori:
- Încărcarea zonei asincrone nu a fost gestionată corect când încărcarea zonei era deja în curs; acest lucru ar putea declanșa un accident în zt.c. [RT # 37573]
- O cursă în timpul opririi sau reconfigurării poate provoca o eroare de afirmare în mem.c. [RT # 38979]
- Unele opțiuni de formatare a răspunsului nu au funcționat corect cu dig + scurt. [RT # 39291]
- Înregistrările incorecte ale unor tipuri, inclusiv NSAP și UNSPEC, ar putea declanșa eșecuri de afirmare la încărcarea fișierelor cu zone text. [RT # 40274] [RT # 40285]
- S-a stabilit un eventual accident în ratelimiter.c cauzat de mesajul NOTIFY eliminat din coada de limitare a ratei incorecte. [RT # 40350]
- Ordinea de întâmpinare implicită a aleatorie a fost aplicată inconsecvent. [RT # 40456]
- Răspunsurile BADVERS de la serverele de nume de autoritate rupte nu au fost tratate corect. [RT # 40427] <>Câteva bug-uri au fost reparate în implementarea RPZ: Zonele de politică care nu necesită în mod specific recursivitate ar putea fi tratate ca și cum ar face-o; în consecință, setarea qname-wait-recurse nu; a fost uneori ineficientă. Acest lucru a fost corectat. În majoritatea configurațiilor, modificările comportamentale datorate acestei remedii nu vor fi vizibile. [RT # 39229] + Serverul ar putea să se prăbușească dacă zonele de politică au fost actualizate (de exemplu, prin reîncărcare rndc sau un transfer de zonă de intrare), în timp ce procesarea RPZ era în curs de desfășurare pentru o interogare activă. [RT # 39415] + Pe serverele cu una sau mai multe zone de politici configurate ca sclavi, dacă o zonă de politică actualizată în timpul operării normale (mai degrabă decât la pornire) utilizând o reîncărcare completă a zonei, cum ar fi prin AXFR, o eroare ar putea permite rezumatul RPZ datele să nu se sincronizeze, ceea ce ar putea conduce la o eșec al afirmației în rpz.c atunci când s-au făcut noi actualizări incrementale în zonă, cum ar fi prin IXFR. [RT # 39567] + Serverul se poate potrivi cu un prefix mai scurt decât ceea ce era disponibil în declanșatoarele politicii CLIENT-IP și astfel s-ar putea lua o acțiune neașteptată. Acest lucru a fost corectat. [RT # 39481] + Serverul ar putea să se prăbușească dacă a fost inițiată o reîncărcare a unei zone RPZ în timp ce o altă încărcare din aceeași zonă era deja în desfășurare.[RT # 39649] + Numele interogărilor s-ar putea potrivi cu zona de politică greșită dacă s-ar prezenta înregistrări cu metacaractere. [RT # 40357]
Comentariile nu a fost găsit