BIND

BIND (Berkeley Internet Name Domain) คือซอฟต์แวร์ UNIX แบบบรรทัดคำสั่งที่แจกจ่ายโพรโตคอลระบบชื่อโดเมน (DNS) ซึ่งเป็นโอเพนซอร์ส ประกอบด้วยเซิร์ฟเวอร์รีซอร์สเซิร์ฟเวอร์ / เดมอนที่เรียกว่า `ชื่อ 'ตลอดจนเครื่องมือซอฟต์แวร์เพื่อทดสอบและตรวจสอบการทำงานที่ถูกต้องของเซิร์ฟเวอร์ DNS

เขียนโดย University of California ที่ Berkeley BIND ได้รับการจัดทำโดยองค์กรต่างๆมากมายเช่น Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, US Defense Information Systems Agency, USENIX Association, Process Software Corporation, Nominum, และ Stichting NLNet & ndash; มูลนิธิ NLNet

ตามที่กล่าวมา BIND ประกอบด้วยเซิร์ฟเวอร์ระบบชื่อโดเมนไลบรารีตัวแก้ไขโดเมนชื่อโดเมนและเครื่องมือซอฟต์แวร์สำหรับการทดสอบเซิร์ฟเวอร์ แม้ว่าการใช้งานเซิร์ฟเวอร์ DNS จะรับผิดชอบในการตอบคำถามที่ได้รับทั้งหมดโดยใช้กฎที่ระบุไว้ในมาตรฐานโปรโตคอล DNS อย่างเป็นทางการห้องสมุดการแก้ปัญหา DNS จะแก้ไขคำถามเกี่ยวกับชื่อโดเมน

ระบบปฏิบัติการที่สนับสนุน

BIND ได้รับการออกแบบมาเป็นพิเศษสำหรับแพลตฟอร์ม GNU / Linux และควรทำงานร่วมกับการแจกจ่าย Linux เช่น Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, openSUSE, Mageia, และอื่น ๆ อีกมากมาย. สนับสนุนทั้งสถาปัตยกรรมแบบ 32 บิตและ 64 บิตชุดคำสั่ง

โครงการมีการแจกจ่ายเป็น tarball สากลแบบเดียวที่มีรหัสแหล่งที่มาของ BIND ซึ่งช่วยให้ผู้ใช้สามารถปรับแต่งซอฟต์แวร์สำหรับแพลตฟอร์มฮาร์ดแวร์และระบบปฏิบัติการของตนได้ดีที่สุด (ดูด้านบนสำหรับ OSes และสถาปัตยกรรมที่สนับสนุน)

มีอะไรใหม่ ในรุ่นนี้:

• ข้อผิดพลาดในการเขียนโค้ดในคุณลักษณะการเปลี่ยนเส้นทาง nxdomain อาจนำไปสู่ความล้มเหลวยืนยันได้ถ้า namespace การเปลี่ยนเส้นทางถูกให้บริการจากแหล่งข้อมูลเผด็จการในท้องถิ่นเช่นเขตพื้นที่หรือ DLZ แทนการค้นหาแบบทวนซ้ำ ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9778 [RT # 43837]
• การตั้งชื่ออาจทำให้ส่วนต่างๆไม่ถูกต้องซึ่งขาดหายไปจาก RRSIGs ทำให้เกิดความล้มเหลวในการยืนยัน ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9444 [RT # 43632]
• มีการตั้งชื่อการตอบสนองบางอย่างที่ไม่ถูกต้องซึ่งครอบคลุมเร็กคอร์ด RRSIG ที่ส่งคืนโดยไม่มีข้อมูลที่ร้องขอซึ่งส่งผลให้เกิดความล้มเหลวในการยืนยัน ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9147 [RT # 43548]
• ชื่อไม่ถูกต้องพยายามแคชระเบียน TKEY ซึ่งอาจทำให้เกิดความล้มเหลวยืนยันเมื่อมีการไม่ตรงกันชั้น ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9131 [RT # 43522]
• สามารถเรียกการยืนยันได้เมื่อประมวลผลคำตอบ ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-8864 [RT # 43465]



มีอะไรใหม่ ในเวอร์ชัน 9.11.2:

• ข้อผิดพลาดในการเขียนโค้ดในคุณลักษณะการเปลี่ยนเส้นทาง nxdomain อาจนำไปสู่ความล้มเหลวยืนยันได้ถ้า namespace การเปลี่ยนเส้นทางถูกให้บริการจากแหล่งข้อมูลเผด็จการในท้องถิ่นเช่นเขตพื้นที่หรือ DLZ แทนการค้นหาแบบทวนซ้ำ ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9778 [RT # 43837]
• การตั้งชื่ออาจทำให้ส่วนต่างๆไม่ถูกต้องซึ่งขาดหายไปจาก RRSIGs ทำให้เกิดความล้มเหลวในการยืนยัน ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9444 [RT # 43632]
• มีการตั้งชื่อการตอบสนองบางอย่างที่ไม่ถูกต้องซึ่งครอบคลุมเร็กคอร์ด RRSIG ที่ส่งคืนโดยไม่มีข้อมูลที่ร้องขอซึ่งส่งผลให้เกิดความล้มเหลวในการยืนยัน ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9147 [RT # 43548]
• ชื่อไม่ถูกต้องพยายามแคชระเบียน TKEY ซึ่งอาจทำให้เกิดความล้มเหลวยืนยันเมื่อมีการไม่ตรงกันชั้น ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9131 [RT # 43522]
• สามารถเรียกการยืนยันได้เมื่อประมวลผลคำตอบ ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-8864 [RT # 43465]



มีอะไรใหม่ ในเวอร์ชัน 9.11.1-P3:

• ข้อผิดพลาดในการเขียนโค้ดในคุณลักษณะการเปลี่ยนเส้นทาง nxdomain อาจนำไปสู่ความล้มเหลวยืนยันได้ถ้า namespace การเปลี่ยนเส้นทางถูกให้บริการจากแหล่งข้อมูลเผด็จการในท้องถิ่นเช่นเขตพื้นที่หรือ DLZ แทนการค้นหาแบบทวนซ้ำ ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9778 [RT # 43837]
• การตั้งชื่ออาจทำให้ส่วนต่างๆไม่ถูกต้องซึ่งขาดหายไปจาก RRSIGs ทำให้เกิดความล้มเหลวในการยืนยัน ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9444 [RT # 43632]
• มีการตั้งชื่อการตอบสนองบางอย่างที่ไม่ถูกต้องซึ่งครอบคลุมเร็กคอร์ด RRSIG ที่ส่งคืนโดยไม่มีข้อมูลที่ร้องขอซึ่งส่งผลให้เกิดความล้มเหลวในการยืนยัน ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9147 [RT # 43548]
• ชื่อไม่ถูกต้องพยายามแคชระเบียน TKEY ซึ่งอาจทำให้เกิดความล้มเหลวยืนยันเมื่อมีการไม่ตรงกันชั้น ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9131 [RT # 43522]
• สามารถเรียกการยืนยันได้เมื่อประมวลผลคำตอบ ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-8864 [RT # 43465]



มีอะไรใหม่ ในเวอร์ชัน 9.11.1-P1:

• ข้อผิดพลาดในการเขียนโค้ดในคุณลักษณะการเปลี่ยนเส้นทาง nxdomain อาจนำไปสู่ความล้มเหลวยืนยันได้ถ้า namespace การเปลี่ยนเส้นทางถูกให้บริการจากแหล่งข้อมูลเผด็จการในท้องถิ่นเช่นเขตพื้นที่หรือ DLZ แทนการค้นหาแบบทวนซ้ำ ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9778 [RT # 43837]
• การตั้งชื่ออาจทำให้ส่วนต่างๆไม่ถูกต้องซึ่งขาดหายไปจาก RRSIGs ทำให้เกิดความล้มเหลวในการยืนยัน ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9444 [RT # 43632]
• มีการตั้งชื่อการตอบสนองบางอย่างที่ไม่ถูกต้องซึ่งครอบคลุมเร็กคอร์ด RRSIG ที่ส่งคืนโดยไม่มีข้อมูลที่ร้องขอซึ่งส่งผลให้เกิดความล้มเหลวในการยืนยัน ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9147 [RT # 43548]
• ชื่อไม่ถูกต้องพยายามแคชระเบียน TKEY ซึ่งอาจทำให้เกิดความล้มเหลวยืนยันเมื่อมีการไม่ตรงกันชั้น ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9131 [RT # 43522]
• สามารถเรียกการยืนยันได้เมื่อประมวลผลคำตอบ ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-8864 [RT # 43465]



มีอะไรใหม่ ในเวอร์ชัน 9.11.1:

• ข้อผิดพลาดในการเขียนโค้ดในคุณลักษณะการเปลี่ยนเส้นทาง nxdomain อาจนำไปสู่ความล้มเหลวยืนยันได้ถ้า namespace การเปลี่ยนเส้นทางถูกให้บริการจากแหล่งข้อมูลเผด็จการในท้องถิ่นเช่นเขตพื้นที่หรือ DLZ แทนการค้นหาแบบทวนซ้ำ ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9778 [RT # 43837]
• การตั้งชื่ออาจทำให้ส่วนต่างๆไม่ถูกต้องซึ่งขาดหายไปจาก RRSIGs ทำให้เกิดความล้มเหลวในการยืนยัน ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9444 [RT # 43632]
• มีการตั้งชื่อการตอบสนองบางอย่างที่ไม่ถูกต้องซึ่งครอบคลุมเร็กคอร์ด RRSIG ที่ส่งคืนโดยไม่มีข้อมูลที่ร้องขอซึ่งส่งผลให้เกิดความล้มเหลวในการยืนยัน ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9147 [RT # 43548]
• ชื่อไม่ถูกต้องพยายามแคชระเบียน TKEY ซึ่งอาจทำให้เกิดความล้มเหลวยืนยันเมื่อมีการไม่ตรงกันชั้น ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9131 [RT # 43522]
• สามารถเรียกการยืนยันได้เมื่อประมวลผลคำตอบ ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-8864 [RT # 43465]



มีอะไรใหม่ ในเวอร์ชัน 9.11.0-P2:

• ข้อผิดพลาดในการเขียนโค้ดในคุณลักษณะการเปลี่ยนเส้นทาง nxdomain อาจนำไปสู่การยืนยันความล้มเหลวถ้า namespace การเปลี่ยนเส้นทางถูกให้บริการจากแหล่งข้อมูลเผด็จการในท้องถิ่นเช่นเขตพื้นที่หรือ DLZ แทนการค้นหาแบบ recursive ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9778 [RT # 43837]
• การตั้งชื่ออาจทำให้ส่วนต่างๆไม่ถูกต้องซึ่งขาดหายไปจาก RRSIGs ทำให้เกิดความล้มเหลวในการยืนยัน ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9444 [RT # 43632]
• มีการตั้งชื่อการตอบสนองบางอย่างที่ไม่ถูกต้องซึ่งครอบคลุมเร็กคอร์ด RRSIG ที่ส่งคืนโดยไม่มีข้อมูลที่ร้องขอซึ่งส่งผลให้เกิดความล้มเหลวในการยืนยัน ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9147 [RT # 43548]
• ชื่อไม่ถูกต้องพยายามแคชระเบียน TKEY ซึ่งอาจทำให้เกิดความล้มเหลวยืนยันเมื่อมีการไม่ตรงกันชั้น ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-9131 [RT # 43522]
• สามารถเรียกการยืนยันได้เมื่อประมวลผลคำตอบ ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2016-8864 [RT # 43465]

มีอะไรใหม่ ในเวอร์ชัน 9.11.0-P1:

• การแก้ไขปัญหาด้านความปลอดภัย:
• การตรวจสอบเขตแดนที่ไม่ถูกต้องใน rdatatype ของ OPENPGPKEY อาจทำให้เกิดความล้มเหลวในการยืนยัน ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2015-5986 [RT # 40286]
• ข้อผิดพลาดทางบัญชีบัฟเฟอร์อาจทำให้เกิดความล้มเหลวในการยืนยันเมื่อแยกวิเคราะห์คีย์ DNSSEC ที่มีรูปแบบไม่ถูกต้อง ข้อบกพร่องนี้ถูกค้นพบโดย Hanno Bock จากโครงการ Fuzzing และได้รับการเปิดเผยใน CVE-2015-5722 [RT # 40212]
• แบบสอบถามที่สร้างขึ้นมาเป็นพิเศษอาจทำให้เกิดความล้มเหลวยืนยันใน message.c ข้อบกพร่องนี้ถูกค้นพบโดย Jonathan Foote และได้รับการเปิดเผยใน CVE-2015-5477 [RT # 40046]
• ในเซิร์ฟเวอร์ที่กำหนดค่าเพื่อทำการตรวจสอบ DNSSEC ความล้มเหลวในการยืนยันสามารถเรียกใช้คำตอบจากเซิร์ฟเวอร์ที่กำหนดค่าเป็นพิเศษได้ ข้อบกพร่องนี้ถูกค้นพบโดย Breno Silveira Soares และได้รับการเปิดเผยใน CVE-2015-4620 [RT # 39795]
• คุณลักษณะใหม่:
• โควต้าใหม่ถูกเพิ่มเพื่อ จำกัด การสืบค้นข้อมูลที่ส่งโดยตัวรีซิสเตอร์แบบทวนซ้ำไปยังเซิร์ฟเวอร์ที่มีสิทธิ์ซึ่งประสบกับการโจมตีแบบปฏิเสธการให้บริการ เมื่อกำหนดค่าตัวเลือกเหล่านี้สามารถลดอันตรายที่เกิดขึ้นกับเซิร์ฟเวอร์ที่มีสิทธิ์และหลีกเลี่ยงความอ่อนเพลียของทรัพยากรที่อาจเกิดจาก recursives เมื่อใช้เป็นพาหนะสำหรับการโจมตีดังกล่าว หมายเหตุ: ตัวเลือกเหล่านี้จะไม่สามารถใช้งานได้ตามค่าเริ่มต้น ใช้ configure --enable-fetchlimit เพื่อใส่ไว้ใน build + fetches-per-server จำกัด จำนวนข้อความค้นหาพร้อมกันที่สามารถส่งไปยังเซิร์ฟเวอร์ที่มีสิทธิ์เดียวได้ ค่าที่กำหนดเป็นจุดเริ่มต้น; จะปรับลงโดยอัตโนมัติหากเซิร์ฟเวอร์ไม่ตอบสนองบางส่วนหรือทั้งหมด อัลกอริทึมที่ใช้ในการปรับโควต้าสามารถกำหนดค่าผ่านทางตัวเลือกเรียกข้อมูลโควต้า - params + fetches-per-zone จำกัด จำนวนการค้นหาพร้อมกันที่สามารถส่งสำหรับชื่อภายในโดเมนเดียวได้ (หมายเหตุ: แตกต่างจาก "fetches-per-server" ค่านี้ไม่ใช่การปรับค่าเอง) เพิ่มเคาน์เตอร์สถิติเพื่อติดตามจำนวนข้อความค้นหาที่ได้รับผลกระทบจากโควต้าเหล่านี้
• dig + ednsflags สามารถใช้เพื่อกำหนดค่า EDNS ที่ยัง จำกัด ไว้ในคำขอ DNS
• dig + [no] สามารถใช้ ednsnegotiation เพื่อเปิด / ปิดการเจรจารุ่น EDNS ได้
• สวิตช์การตั้งค่าคอนฟิก --enable-querytrace พร้อมให้บริการเพื่อให้สามารถสืบค้นข้อความค้นหาแบบ verbose ได้มาก ตัวเลือกนี้สามารถตั้งค่าได้เฉพาะในเวลารวบรวมข้อมูลเท่านั้น ตัวเลือกนี้มีผลกระทบเชิงลบและควรใช้เฉพาะสำหรับการแก้จุดบกพร่อง
• คุณลักษณะการเปลี่ยนแปลง:
• การเปลี่ยนแปลงการลงนามในบรรทัดในปริมาณมากควรมีความยุ่งยากน้อยลง ขณะนี้การสร้างลายเซ็นจะดำเนินการแบบทวีคูณแล้ว จำนวนลายเซ็นที่จะสร้างขึ้นในแต่ละควอนตัมจะถูกควบคุมโดย "sig-sign-signatures number;" [RT # 37927]
• ส่วนขยาย SIT ทดลองใช้ EDNS COOKIE ตัวเลือกรหัส (10) และจะแสดงเป็น "COOKIE:" คำสั่ง named.conf ที่มีอยู่ "sit-sit", "sit-secret" และ "nosit-udp-size" ยังคงถูกต้องและจะถูกแทนที่โดย "send-cookie", "cookie-secret" และ "nocookie-udp-size" ใน BIND 9.11 . คำสั่ง dig ที่มีอยู่ "+ sit" ยังคงใช้งานได้และจะถูกแทนที่ด้วย "+ cookie" ที่ BIND 9.11
• เมื่อลองค้นหาแบบสอบถามผ่านทาง TCP เนื่องจากคำตอบแรกถูกตัดทอนการขุดตอนนี้จะส่งค่า COOKIE ที่ส่งคืนโดยเซิร์ฟเวอร์ในการตอบกลับก่อนหน้านี้ [RT # 39047]
• เรียกใช้ช่วงพอร์ตภายในจาก net.ipv4.ip_local_port_range บน Linux แล้ว
• ชื่อ Active Directory ของฟอร์ม gc._msdcs ขณะนี้ได้รับการยอมรับว่าเป็นชื่อโฮสต์ที่ถูกต้องเมื่อใช้ตัวเลือก check-names ยังคง จำกัด เฉพาะตัวอักษรตัวเลขและยัติภังค์
• ขณะนี้ชื่อที่มีข้อความสมบูรณ์ได้รับการยอมรับว่าเป็นชื่อโฮสต์ที่ถูกต้องในระเบียน PTR ในโซนการค้นหาแบบย้อนกลับ DNS-SD ตามที่ระบุใน RFC 6763 [RT # 37889]
• การแก้ไขข้อบกพร่อง:
• การโหลดโซนแบบอะซิงโครนัสไม่ได้รับการจัดการอย่างถูกต้องเมื่อโหลดโซนกำลังดำเนินการอยู่ นี้อาจทำให้เกิดความผิดพลาดใน zt.c [RT # 37573]
• การแข่งขันระหว่างการปิดระบบหรือการกำหนดค่าใหม่อาจทำให้เกิดความล้มเหลวยืนยันใน mem.c. [RT # 38979]
• ตัวเลือกการจัดรูปแบบคำตอบบางตัวไม่ทำงานอย่างถูกต้องโดยใช้ dig + short [RT # 39291]
• ระเบียนบางส่วนที่ไม่ถูกต้องรวมทั้ง NSAP และ UNSPEC อาจทำให้เกิดความล้มเหลวในการยืนยันเมื่อโหลดไฟล์จากโซนพื้นที่ [RT # 40274] [RT # 40285]
• แก้ไขข้อผิดพลาดที่เป็นไปได้ใน ratelimiter.c เนื่องจากข้อความ NOTIFY ถูกนำออกจากคิวตัวเรียงลำดับอัตราที่ไม่ถูกต้อง [RT # 40350]
• ค่าเริ่มต้นของ rrset-order ของ random ถูกใช้อย่างไม่สม่ำเสมอ [RT # 40456]
• ตอบกลับ BADVERS จากเซิร์ฟเวอร์ชื่อที่มีสิทธิ์ไม่ถูกต้องไม่ได้รับการจัดการอย่างถูกต้อง [RT # 40427]
<>ข้อผิดพลาดหลายตัวได้รับการแก้ไขในการใช้งาน RPZ: + โซนนโยบายที่ไม่จำเป็นต้องมีการเรียกซ้ำอาจต้องถือว่าเป็นเช่นนั้น ดังนั้นการตั้งค่า qname-wait-recurse no; บางครั้งก็ไม่ได้ผล ได้รับการแก้ไขแล้ว ในการกำหนดค่าส่วนใหญ่การเปลี่ยนแปลงพฤติกรรมเนื่องจากการแก้ไขนี้จะไม่สามารถสังเกตได้ [RT # 39229] + เซิร์ฟเวอร์อาจล้มเหลวหากมีการอัปเดตเขตนโยบาย (เช่นผ่านการโหลด rndc หรือการโอนย้ายโซนที่เข้ามา) ในขณะที่การประมวลผล RPZ ยังคงดำเนินต่อไปสำหรับข้อความค้นหาที่ใช้งานอยู่ [RT # 39415] + บนเซิร์ฟเวอร์ที่มีโซนนโยบายอย่างน้อยหนึ่งโซนกำหนดค่าเป็นทาสถ้าโซนนโยบายอัปเดตระหว่างการดำเนินการตามปกติ (ไม่ใช่เมื่อเริ่มต้น) โดยใช้การโหลดโซนแบบเต็มรูปแบบเช่นผ่าน AXFR ข้อบกพร่องอาจทำให้สามารถสรุป RPZ ได้ ข้อมูลที่จะหลุดออกจากซิงค์ซึ่งอาจนำไปสู่ความล้มเหลวยืนยันใน rpz.c เมื่อมีการอัพเดตเพิ่มเติมที่เพิ่มขึ้นไปยังโซนเช่นผ่านทาง IXFR [RT # 39567] + เซิร์ฟเวอร์สามารถจับคู่คำนำหน้าสั้นกว่าที่มีอยู่ในตัวเรียกใช้นโยบายไคลเอ็นต์ IP และดังนั้นการดำเนินการที่ไม่คาดคิดอาจเกิดขึ้น ได้รับการแก้ไขแล้ว [RT # 39481] + เซิร์ฟเวอร์อาจล้มเหลวได้หากมีการโหลดโซน RPZ ใหม่ขึ้นขณะโหลดอีกครั้งของโซนเดียวกันอยู่ในระหว่างดำเนินการ

[RT # 39649] + ชื่อข้อความค้นหาสามารถจับคู่กับโซนนโยบายที่ไม่ถูกต้องหากมีการใช้สัญลักษณ์แทน [RT # 40357]

มีอะไรใหม่ ในเวอร์ชัน 9.11.0:

• การแก้ไขปัญหาด้านความปลอดภัย:
• การตรวจสอบเขตแดนที่ไม่ถูกต้องใน rdatatype ของ OPENPGPKEY อาจทำให้เกิดความล้มเหลวในการยืนยัน ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2015-5986 [RT # 40286]
• ข้อผิดพลาดทางบัญชีบัฟเฟอร์อาจทำให้เกิดความล้มเหลวในการยืนยันเมื่อแยกวิเคราะห์คีย์ DNSSEC ที่มีรูปแบบไม่ถูกต้อง ข้อบกพร่องนี้ถูกค้นพบโดย Hanno Bock จากโครงการ Fuzzing และได้รับการเปิดเผยใน CVE-2015-5722 [RT # 40212]
• แบบสอบถามที่สร้างขึ้นมาเป็นพิเศษอาจทำให้เกิดความล้มเหลวยืนยันใน message.c ข้อบกพร่องนี้ถูกค้นพบโดย Jonathan Foote และได้รับการเปิดเผยใน CVE-2015-5477 [RT # 40046]
• ในเซิร์ฟเวอร์ที่กำหนดค่าเพื่อทำการตรวจสอบ DNSSEC ความล้มเหลวในการยืนยันสามารถเรียกใช้คำตอบจากเซิร์ฟเวอร์ที่กำหนดค่าเป็นพิเศษได้ ข้อบกพร่องนี้ถูกค้นพบโดย Breno Silveira Soares และได้รับการเปิดเผยใน CVE-2015-4620 [RT # 39795]
• คุณลักษณะใหม่:
• โควต้าใหม่ถูกเพิ่มเพื่อ จำกัด การสืบค้นข้อมูลที่ส่งโดยตัวรีซิสเตอร์แบบทวนซ้ำไปยังเซิร์ฟเวอร์ที่มีสิทธิ์ซึ่งประสบกับการโจมตีแบบปฏิเสธการให้บริการ เมื่อกำหนดค่าตัวเลือกเหล่านี้สามารถลดอันตรายที่เกิดขึ้นกับเซิร์ฟเวอร์ที่มีสิทธิ์และหลีกเลี่ยงความอ่อนเพลียของทรัพยากรที่อาจเกิดจาก recursives เมื่อใช้เป็นพาหนะสำหรับการโจมตีดังกล่าว หมายเหตุ: ตัวเลือกเหล่านี้จะไม่สามารถใช้งานได้ตามค่าเริ่มต้น ใช้ configure --enable-fetchlimit เพื่อใส่ไว้ใน build + fetches-per-server จำกัด จำนวนข้อความค้นหาพร้อมกันที่สามารถส่งไปยังเซิร์ฟเวอร์ที่มีสิทธิ์เดียวได้ ค่าที่กำหนดเป็นจุดเริ่มต้น; จะปรับลงโดยอัตโนมัติหากเซิร์ฟเวอร์ไม่ตอบสนองบางส่วนหรือทั้งหมด อัลกอริทึมที่ใช้ในการปรับโควต้าสามารถกำหนดค่าผ่านทางตัวเลือกเรียกข้อมูลโควต้า - params + fetches-per-zone จำกัด จำนวนการค้นหาพร้อมกันที่สามารถส่งสำหรับชื่อภายในโดเมนเดียวได้ (หมายเหตุ: แตกต่างจาก "fetches-per-server" ค่านี้ไม่ใช่การปรับค่าเอง) เพิ่มเคาน์เตอร์สถิติเพื่อติดตามจำนวนข้อความค้นหาที่ได้รับผลกระทบจากโควต้าเหล่านี้
• dig + ednsflags สามารถใช้เพื่อกำหนดค่า EDNS ที่ยัง จำกัด ไว้ในคำขอ DNS
• dig + [no] สามารถใช้ ednsnegotiation เพื่อเปิด / ปิดการเจรจารุ่น EDNS ได้
• สวิตช์การตั้งค่าคอนฟิก --enable-querytrace พร้อมให้บริการเพื่อให้สามารถสืบค้นข้อความค้นหาแบบ verbose ได้มาก ตัวเลือกนี้สามารถตั้งค่าได้เฉพาะในเวลารวบรวมข้อมูลเท่านั้น ตัวเลือกนี้มีผลกระทบเชิงลบและควรใช้เฉพาะสำหรับการแก้จุดบกพร่อง
• คุณลักษณะการเปลี่ยนแปลง:
• การเปลี่ยนแปลงการลงนามในบรรทัดในปริมาณมากควรมีความยุ่งยากน้อยลง ขณะนี้การสร้างลายเซ็นจะดำเนินการแบบทวีคูณแล้ว จำนวนลายเซ็นที่จะสร้างขึ้นในแต่ละควอนตัมจะถูกควบคุมโดย "sig-sign-signatures number;" [RT # 37927]
• ส่วนขยาย SIT ทดลองใช้ EDNS COOKIE ตัวเลือกรหัส (10) และจะแสดงเป็น "COOKIE:" คำสั่ง named.conf ที่มีอยู่ "sit-sit", "sit-secret" และ "nosit-udp-size" ยังคงถูกต้องและจะถูกแทนที่โดย "send-cookie", "cookie-secret" และ "nocookie-udp-size" ใน BIND 9.11 . คำสั่ง dig ที่มีอยู่ "+ sit" ยังคงใช้งานได้และจะถูกแทนที่ด้วย "+ cookie" ที่ BIND 9.11
• เมื่อลองค้นหาแบบสอบถามผ่านทาง TCP เนื่องจากคำตอบแรกถูกตัดทอนการขุดตอนนี้จะส่งค่า COOKIE ที่ส่งคืนโดยเซิร์ฟเวอร์ในการตอบกลับก่อนหน้านี้ [RT # 39047]
• เรียกใช้ช่วงพอร์ตภายในจาก net.ipv4.ip_local_port_range บน Linux แล้ว
• ชื่อ Active Directory ของฟอร์ม gc._msdcs ขณะนี้ได้รับการยอมรับว่าเป็นชื่อโฮสต์ที่ถูกต้องเมื่อใช้ตัวเลือก check-names ยังคง จำกัด เฉพาะตัวอักษรตัวเลขและยัติภังค์
• ขณะนี้ชื่อที่มีข้อความสมบูรณ์ได้รับการยอมรับว่าเป็นชื่อโฮสต์ที่ถูกต้องในระเบียน PTR ในโซนการค้นหาแบบย้อนกลับ DNS-SD ตามที่ระบุใน RFC 6763 [RT # 37889]
• การแก้ไขข้อบกพร่อง:
• การโหลดโซนแบบอะซิงโครนัสไม่ได้รับการจัดการอย่างถูกต้องเมื่อโหลดโซนกำลังดำเนินการอยู่ นี้อาจทำให้เกิดความผิดพลาดใน zt.c [RT # 37573]
• การแข่งขันระหว่างการปิดระบบหรือการกำหนดค่าใหม่อาจทำให้เกิดความล้มเหลวยืนยันใน mem.c. [RT # 38979]
• ตัวเลือกการจัดรูปแบบคำตอบบางตัวไม่ทำงานอย่างถูกต้องโดยใช้ dig + short [RT # 39291]
• ระเบียนบางส่วนที่ไม่ถูกต้องรวมทั้ง NSAP และ UNSPEC อาจทำให้เกิดความล้มเหลวในการยืนยันเมื่อโหลดไฟล์จากโซนพื้นที่ [RT # 40274] [RT # 40285]
• แก้ไขข้อผิดพลาดที่เป็นไปได้ใน ratelimiter.c เนื่องจากข้อความ NOTIFY ถูกนำออกจากคิวตัวเรียงลำดับอัตราที่ไม่ถูกต้อง [RT # 40350]
• ค่าเริ่มต้นของ rrset-order ของ random ถูกใช้อย่างไม่สม่ำเสมอ [RT # 40456]
• ตอบกลับ BADVERS จากเซิร์ฟเวอร์ชื่อที่มีสิทธิ์ไม่ถูกต้องไม่ได้รับการจัดการอย่างถูกต้อง [RT # 40427]
<>ข้อผิดพลาดหลายตัวได้รับการแก้ไขในการใช้งาน RPZ: + โซนนโยบายที่ไม่จำเป็นต้องมีการเรียกซ้ำอาจต้องถือว่าเป็นเช่นนั้น ดังนั้นการตั้งค่า qname-wait-recurse no; บางครั้งก็ไม่ได้ผล ได้รับการแก้ไขแล้ว ในการกำหนดค่าส่วนใหญ่การเปลี่ยนแปลงพฤติกรรมเนื่องจากการแก้ไขนี้จะไม่สามารถสังเกตได้ [RT # 39229] + เซิร์ฟเวอร์อาจล้มเหลวหากมีการอัปเดตเขตนโยบาย (เช่นผ่านการโหลด rndc หรือการโอนย้ายโซนที่เข้ามา) ในขณะที่การประมวลผล RPZ ยังคงดำเนินต่อไปสำหรับข้อความค้นหาที่ใช้งานอยู่ [RT # 39415] + บนเซิร์ฟเวอร์ที่มีโซนนโยบายอย่างน้อยหนึ่งโซนกำหนดค่าเป็นทาสถ้าโซนนโยบายอัปเดตระหว่างการดำเนินการตามปกติ (ไม่ใช่เมื่อเริ่มต้น) โดยใช้การโหลดโซนแบบเต็มรูปแบบเช่นผ่าน AXFR ข้อบกพร่องอาจทำให้สามารถสรุป RPZ ได้ ข้อมูลที่จะหลุดออกจากซิงค์ซึ่งอาจนำไปสู่ความล้มเหลวยืนยันใน rpz.c เมื่อมีการอัพเดตเพิ่มเติมที่เพิ่มขึ้นไปยังโซนเช่นผ่านทาง IXFR [RT # 39567] + เซิร์ฟเวอร์สามารถจับคู่คำนำหน้าสั้นกว่าที่มีอยู่ในตัวเรียกใช้นโยบายไคลเอ็นต์ IP และดังนั้นการดำเนินการที่ไม่คาดคิดอาจเกิดขึ้น ได้รับการแก้ไขแล้ว [RT # 39481] + เซิร์ฟเวอร์อาจล้มเหลวได้หากมีการโหลดโซน RPZ ใหม่ขึ้นขณะโหลดอีกครั้งของโซนเดียวกันอยู่ในระหว่างดำเนินการ

[RT # 39649] + ชื่อข้อความค้นหาสามารถจับคู่กับโซนนโยบายที่ไม่ถูกต้องหากมีการใช้สัญลักษณ์แทน [RT # 40357]

มีอะไรใหม่ ในเวอร์ชัน 9.10.4-P3:

• การแก้ไขปัญหาด้านความปลอดภัย:
• การตรวจสอบเขตแดนที่ไม่ถูกต้องใน rdatatype ของ OPENPGPKEY อาจทำให้เกิดความล้มเหลวในการยืนยัน ข้อบกพร่องนี้ถูกเปิดเผยใน CVE-2015-5986 [RT # 40286]
• ข้อผิดพลาดทางบัญชีบัฟเฟอร์อาจทำให้เกิดความล้มเหลวในการยืนยันเมื่อแยกวิเคราะห์คีย์ DNSSEC ที่มีรูปแบบไม่ถูกต้อง ข้อบกพร่องนี้ถูกค้นพบโดย Hanno Bock จากโครงการ Fuzzing และได้รับการเปิดเผยใน CVE-2015-5722 [RT # 40212]
• แบบสอบถามที่สร้างขึ้นมาเป็นพิเศษอาจทำให้เกิดความล้มเหลวยืนยันใน message.c ข้อบกพร่องนี้ถูกค้นพบโดย Jonathan Foote และได้รับการเปิดเผยใน CVE-2015-5477 [RT # 40046]
• ในเซิร์ฟเวอร์ที่กำหนดค่าเพื่อทำการตรวจสอบ DNSSEC ความล้มเหลวในการยืนยันสามารถเรียกใช้คำตอบจากเซิร์ฟเวอร์ที่กำหนดค่าเป็นพิเศษได้ ข้อบกพร่องนี้ถูกค้นพบโดย Breno Silveira Soares และได้รับการเปิดเผยใน CVE-2015-4620 [RT # 39795]
• คุณลักษณะใหม่:
• โควต้าใหม่ถูกเพิ่มเพื่อ จำกัด การสืบค้นข้อมูลที่ส่งโดยตัวรีซิสเตอร์แบบทวนซ้ำไปยังเซิร์ฟเวอร์ที่มีสิทธิ์ซึ่งประสบกับการโจมตีแบบปฏิเสธการให้บริการ เมื่อกำหนดค่าตัวเลือกเหล่านี้สามารถลดอันตรายที่เกิดขึ้นกับเซิร์ฟเวอร์ที่มีสิทธิ์และหลีกเลี่ยงความอ่อนเพลียของทรัพยากรที่อาจเกิดจาก recursives เมื่อใช้เป็นพาหนะสำหรับการโจมตีดังกล่าว หมายเหตุ: ตัวเลือกเหล่านี้จะไม่สามารถใช้งานได้ตามค่าเริ่มต้น ใช้ configure --enable-fetchlimit เพื่อใส่ไว้ใน build + fetches-per-server จำกัด จำนวนข้อความค้นหาพร้อมกันที่สามารถส่งไปยังเซิร์ฟเวอร์ที่มีสิทธิ์เดียวได้ ค่าที่กำหนดเป็นจุดเริ่มต้น; จะปรับลงโดยอัตโนมัติหากเซิร์ฟเวอร์ไม่ตอบสนองบางส่วนหรือทั้งหมด อัลกอริทึมที่ใช้ในการปรับโควต้าสามารถกำหนดค่าผ่านทางตัวเลือกเรียกข้อมูลโควต้า - params + fetches-per-zone จำกัด จำนวนการค้นหาพร้อมกันที่สามารถส่งสำหรับชื่อภายในโดเมนเดียวได้ (หมายเหตุ: แตกต่างจาก "fetches-per-server" ค่านี้ไม่ใช่การปรับค่าเอง) เพิ่มเคาน์เตอร์สถิติเพื่อติดตามจำนวนข้อความค้นหาที่ได้รับผลกระทบจากโควต้าเหล่านี้
• dig + ednsflags สามารถใช้เพื่อกำหนดค่า EDNS ที่ยัง จำกัด ไว้ในคำขอ DNS
• dig + [no] สามารถใช้ ednsnegotiation เพื่อเปิด / ปิดการเจรจารุ่น EDNS ได้
• สวิตช์การตั้งค่าคอนฟิก --enable-querytrace พร้อมให้บริการเพื่อให้สามารถสืบค้นข้อความค้นหาแบบ verbose ได้มาก ตัวเลือกนี้สามารถตั้งค่าได้เฉพาะในเวลารวบรวมข้อมูลเท่านั้น ตัวเลือกนี้มีผลกระทบเชิงลบและควรใช้เฉพาะสำหรับการแก้จุดบกพร่อง
• คุณลักษณะการเปลี่ยนแปลง:
• การเปลี่ยนแปลงการลงนามในบรรทัดในปริมาณมากควรมีความยุ่งยากน้อยลง ขณะนี้การสร้างลายเซ็นจะดำเนินการแบบทวีคูณแล้ว จำนวนลายเซ็นที่จะสร้างขึ้นในแต่ละควอนตัมจะถูกควบคุมโดย "sig-sign-signatures number;" [RT # 37927]
• ส่วนขยาย SIT ทดลองใช้ EDNS COOKIE ตัวเลือกรหัส (10) และจะแสดงเป็น "COOKIE:" คำสั่ง named.conf ที่มีอยู่ "sit-sit", "sit-secret" และ "nosit-udp-size" ยังคงถูกต้องและจะถูกแทนที่โดย "send-cookie", "cookie-secret" และ "nocookie-udp-size" ใน BIND 9.11 . คำสั่ง dig ที่มีอยู่ "+ sit" ยังคงใช้งานได้และจะถูกแทนที่ด้วย "+ cookie" ที่ BIND 9.11
• เมื่อลองค้นหาแบบสอบถามผ่านทาง TCP เนื่องจากคำตอบแรกถูกตัดทอนการขุดตอนนี้จะส่งค่า COOKIE ที่ส่งคืนโดยเซิร์ฟเวอร์ในการตอบกลับก่อนหน้านี้ [RT # 39047]
• เรียกใช้ช่วงพอร์ตภายในจาก net.ipv4.ip_local_port_range บน Linux แล้ว
• ชื่อ Active Directory ของฟอร์ม gc._msdcs ขณะนี้ได้รับการยอมรับว่าเป็นชื่อโฮสต์ที่ถูกต้องเมื่อใช้ตัวเลือก check-names ยังคง จำกัด เฉพาะตัวอักษรตัวเลขและยัติภังค์
• ขณะนี้ชื่อที่มีข้อความสมบูรณ์ได้รับการยอมรับว่าเป็นชื่อโฮสต์ที่ถูกต้องในระเบียน PTR ในโซนการค้นหาแบบย้อนกลับ DNS-SD ตามที่ระบุใน RFC 6763 [RT # 37889]
• การแก้ไขข้อบกพร่อง:
• การโหลดโซนแบบอะซิงโครนัสไม่ได้รับการจัดการอย่างถูกต้องเมื่อโหลดโซนกำลังดำเนินการอยู่ นี้อาจทำให้เกิดความผิดพลาดใน zt.c [RT # 37573]
• การแข่งขันระหว่างการปิดระบบหรือการกำหนดค่าใหม่อาจทำให้เกิดความล้มเหลวยืนยันใน mem.c. [RT # 38979]
• ตัวเลือกการจัดรูปแบบคำตอบบางตัวไม่ทำงานอย่างถูกต้องโดยใช้ dig + short [RT # 39291]
• ระเบียนบางส่วนที่ไม่ถูกต้องรวมทั้ง NSAP และ UNSPEC อาจทำให้เกิดความล้มเหลวในการยืนยันเมื่อโหลดไฟล์จากโซนพื้นที่ [RT # 40274] [RT # 40285]
• แก้ไขข้อผิดพลาดที่เป็นไปได้ใน ratelimiter.c เนื่องจากข้อความ NOTIFY ถูกนำออกจากคิวตัวเรียงลำดับอัตราที่ไม่ถูกต้อง [RT # 40350]
• ค่าเริ่มต้นของ rrset-order ของ random ถูกใช้อย่างไม่สม่ำเสมอ [RT # 40456]
• ตอบกลับ BADVERS จากเซิร์ฟเวอร์ชื่อที่มีสิทธิ์ไม่ถูกต้องไม่ได้รับการจัดการอย่างถูกต้อง [RT # 40427]
<>ข้อผิดพลาดหลายตัวได้รับการแก้ไขในการใช้งาน RPZ: + โซนนโยบายที่ไม่จำเป็นต้องมีการเรียกซ้ำอาจต้องถือว่าเป็นเช่นนั้น ดังนั้นการตั้งค่า qname-wait-recurse no; บางครั้งก็ไม่ได้ผล ได้รับการแก้ไขแล้ว ในการกำหนดค่าส่วนใหญ่การเปลี่ยนแปลงพฤติกรรมเนื่องจากการแก้ไขนี้จะไม่สามารถสังเกตได้ [RT # 39229] + เซิร์ฟเวอร์อาจล้มเหลวหากมีการอัปเดตเขตนโยบาย (เช่นผ่านการโหลด rndc หรือการโอนย้ายโซนที่เข้ามา) ในขณะที่การประมวลผล RPZ ยังคงดำเนินต่อไปสำหรับข้อความค้นหาที่ใช้งานอยู่ [RT # 39415] + บนเซิร์ฟเวอร์ที่มีโซนนโยบายอย่างน้อยหนึ่งโซนกำหนดค่าเป็นทาสถ้าโซนนโยบายอัปเดตระหว่างการดำเนินการตามปกติ (ไม่ใช่เมื่อเริ่มต้น) โดยใช้การโหลดโซนแบบเต็มรูปแบบเช่นผ่าน AXFR ข้อบกพร่องอาจทำให้สามารถสรุป RPZ ได้ ข้อมูลที่จะหลุดออกจากซิงค์ซึ่งอาจนำไปสู่ความล้มเหลวยืนยันใน rpz.c เมื่อมีการอัพเดตเพิ่มเติมที่เพิ่มขึ้นไปยังโซนเช่นผ่านทาง IXFR [RT # 39567] + เซิร์ฟเวอร์สามารถจับคู่คำนำหน้าสั้นกว่าที่มีอยู่ในตัวเรียกใช้นโยบายไคลเอ็นต์ IP และดังนั้นการดำเนินการที่ไม่คาดคิดอาจเกิดขึ้น ได้รับการแก้ไขแล้ว [RT # 39481] + เซิร์ฟเวอร์อาจล้มเหลวได้หากมีการโหลดโซน RPZ ใหม่ขึ้นขณะโหลดอีกครั้งของโซนเดียวกันอยู่ในระหว่างดำเนินการ[RT # 39649] + ชื่อข้อความค้นหาสามารถจับคู่กับโซนนโยบายที่ไม่ถูกต้องหากมีการใช้สัญลักษณ์แทน [RT # 40357]
20 Jan 18 ใน ซอฟแวร์ระบบเครือข่าย, เซิร์ฟเวอร์ DNS