BIND

Software screenshot:
BIND
Software informatie:
Versie: 9.11.2-P1 Bijgewerkt
Upload datum: 20 Jan 18
Ontwikkelaar: ISC Software
Licentie: Gratis
Populariteit: 110

Rating: 2.5/5 (Total Votes: 2)

BIND (Berkeley Internet Name Domain) is een UNIX-opdrachtregelprogramma dat een open source-implementatie van de DNS-protocollen (Domain Name System) distribueert. Het bestaat uit een resolver-bibliotheek, een server / daemon genaamd `named ', evenals softwaretools voor het testen en verifiëren van de juiste werking van de DNS-servers.

Oorspronkelijk geschreven aan de University of California in Berkeley, werd BIND onderschreven door tal van organisaties, waaronder Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, US Defense Information Systems Agency, USENIX Association, Process Software Corporation, Nominum, en Stichting NLNet & ndash; NLNet Foundation.


Wat is inbegrepen?

Zoals eerder vermeld, bestaat BIND uit een domeinnaamsysteem-server, een resolver-bibliotheek voor domeinnamen en softwaretools voor het testen van servers. Hoewel de implementatie van de DNS-server verantwoordelijk is voor het beantwoorden van alle ontvangen vragen door de regels te gebruiken die worden vermeld in de officiële DNS-protocolstandaarden, lost de DNS resolver-bibliotheek vragen over domeinnamen op.

Ondersteunde besturingssystemen

BIND is specifiek ontworpen voor het GNU / Linux-platform en zou goed moeten werken met elke distributie van Linux, inclusief Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, openSUSE, Mageia, en vele anderen. Het ondersteunt zowel 32-bits als 64-bits architecturen met instructiesets.

Het project wordt gedistribueerd als een enkele, universele tarball met de broncode van BIND, waarmee gebruikers de software voor hun hardwareplatform en besturingssysteem kunnen optimaliseren (zie hierboven voor ondersteunde besturingssystemen en architecturen).

Wat is nieuw in deze release:

  • Een coderingsfout in de eigenschap nxdomain-redirect kan leiden tot een assertion failure als de omleidingsnaamruimte wordt bediend vanuit een lokale gezaghebbende gegevensbron zoals een lokale zone of een DLZ in plaats van via recursieve lookup. Deze fout wordt beschreven in CVE-2016-9778. [RT # 43837]
  • Benoemd kan autoregementsecties misten die RRSIGs misten die een assertiefout veroorzaken. Deze fout wordt beschreven in CVE-2016-9444. [RT # 43632]
  • Benoemde onjuist behandeld met sommige antwoorden waarbij RRSIG-records worden afgedekt zonder de gevraagde gegevens, wat resulteert in een beweringfout. Deze fout wordt beschreven in CVE-2016-9147. [RT # 43548]
  • Foutieve naamgeving geprobeerd om TKEY-records in de cache te plaatsen die een assertiefout konden veroorzaken wanneer er een klassenverschil was. Deze fout wordt beschreven in CVE-2016-9131. [RT # 43522]
  • Het was mogelijk om beweringen te activeren bij het verwerken van een antwoord. Deze fout wordt beschreven in CVE-2016-8864. [RT # 43465]

Wat is nieuw in versie 9.11.2:

  • Een coderingsfout in de eigenschap nxdomain-redirect kan leiden tot een assertion failure als de omleidingsnaamruimte wordt bediend vanuit een lokale gezaghebbende gegevensbron zoals een lokale zone of een DLZ in plaats van via recursieve lookup. Deze fout wordt beschreven in CVE-2016-9778. [RT # 43837]
  • Benoemd kan autoregementsecties misten die RRSIGs misten die een assertiefout veroorzaken. Deze fout wordt beschreven in CVE-2016-9444. [RT # 43632]
  • Benoemde onjuist behandeld met sommige antwoorden waarbij RRSIG-records worden afgedekt zonder de gevraagde gegevens, wat resulteert in een beweringfout. Deze fout wordt beschreven in CVE-2016-9147. [RT # 43548]
  • Foutieve naamgeving geprobeerd om TKEY-records in de cache te plaatsen die een assertiefout konden veroorzaken wanneer er een klassenverschil was. Deze fout wordt beschreven in CVE-2016-9131. [RT # 43522]
  • Het was mogelijk om beweringen te activeren bij het verwerken van een antwoord. Deze fout wordt beschreven in CVE-2016-8864. [RT # 43465]

Wat is nieuw in versie 9.11.1-P3:

  • Een coderingsfout in de eigenschap nxdomain-redirect kan leiden tot een assertion failure als de omleidingsnaamruimte wordt bediend vanuit een lokale gezaghebbende gegevensbron zoals een lokale zone of een DLZ in plaats van via recursieve lookup. Deze fout wordt beschreven in CVE-2016-9778. [RT # 43837]
  • Benoemd kan autoregementsecties misten die RRSIGs misten die een assertiefout veroorzaken. Deze fout wordt beschreven in CVE-2016-9444. [RT # 43632]
  • Benoemde onjuist behandeld met sommige antwoorden waarbij RRSIG-records worden afgedekt zonder de gevraagde gegevens, wat resulteert in een beweringfout. Deze fout wordt beschreven in CVE-2016-9147. [RT # 43548]
  • Foutieve naamgeving geprobeerd om TKEY-records in de cache te plaatsen die een assertiefout konden veroorzaken wanneer er een klassenverschil was. Deze fout wordt beschreven in CVE-2016-9131. [RT # 43522]
  • Het was mogelijk om beweringen te activeren bij het verwerken van een antwoord. Deze fout wordt beschreven in CVE-2016-8864. [RT # 43465]

Wat is nieuw in versie 9.11.1-P1:

  • Een coderingsfout in de eigenschap nxdomain-redirect kan leiden tot een assertion failure als de omleidingsnaamruimte wordt bediend vanuit een lokale gezaghebbende gegevensbron zoals een lokale zone of een DLZ in plaats van via recursieve lookup. Deze fout wordt beschreven in CVE-2016-9778. [RT # 43837]
  • Benoemd kan autoregementsecties misten die RRSIGs misten die een assertiefout veroorzaken. Deze fout wordt beschreven in CVE-2016-9444. [RT # 43632]
  • Benoemde onjuist behandeld met sommige antwoorden waarbij RRSIG-records worden afgedekt zonder de gevraagde gegevens, wat resulteert in een beweringfout. Deze fout wordt beschreven in CVE-2016-9147. [RT # 43548]
  • Foutieve naamgeving geprobeerd om TKEY-records in de cache te plaatsen die een assertiefout konden veroorzaken wanneer er een klassenverschil was. Deze fout wordt beschreven in CVE-2016-9131. [RT # 43522]
  • Het was mogelijk om beweringen te activeren bij het verwerken van een antwoord. Deze fout wordt beschreven in CVE-2016-8864. [RT # 43465]

Wat is nieuw in versie 9.11.1:

  • Een coderingsfout in de eigenschap nxdomain-redirect kan leiden tot een assertion failure als de omleidingsnaamruimte wordt bediend vanuit een lokale gezaghebbende gegevensbron zoals een lokale zone of een DLZ in plaats van via recursieve lookup. Deze fout wordt beschreven in CVE-2016-9778. [RT # 43837]
  • Benoemd kan autoregementsecties misten die RRSIGs misten die een assertiefout veroorzaken. Deze fout wordt beschreven in CVE-2016-9444. [RT # 43632]
  • Benoemde onjuist behandeld met sommige antwoorden waarbij RRSIG-records worden afgedekt zonder de gevraagde gegevens, wat resulteert in een beweringfout. Deze fout wordt beschreven in CVE-2016-9147. [RT # 43548]
  • Foutieve naamgeving geprobeerd om TKEY-records in de cache te plaatsen die een assertiefout konden veroorzaken wanneer er een klassenverschil was. Deze fout wordt beschreven in CVE-2016-9131. [RT # 43522]
  • Het was mogelijk om beweringen te activeren bij het verwerken van een antwoord. Deze fout wordt beschreven in CVE-2016-8864. [RT # 43465]

Wat is nieuw in versie 9.11.0-P2:

  • Een coderingsfout in de eigenschap nxdomain-redirect kan leiden tot een assertion failure als de omleidingsnaamruimte wordt bediend vanuit een lokale gezaghebbende gegevensbron zoals een lokale zone of een DLZ in plaats van via recursieve lookup. Deze fout wordt beschreven in CVE-2016-9778. [RT # 43837]
  • Benoemd kan autoregementsecties misten die RRSIGs misten die een assertiefout veroorzaken. Deze fout wordt beschreven in CVE-2016-9444. [RT # 43632]
  • Benoemde onjuist behandeld met sommige antwoorden waarbij RRSIG-records worden afgedekt zonder de gevraagde gegevens, wat resulteert in een beweringfout. Deze fout wordt beschreven in CVE-2016-9147. [RT # 43548]
  • Foutieve naamgeving geprobeerd om TKEY-records in de cache te plaatsen die een assertiefout konden veroorzaken wanneer er een klassenverschil was. Deze fout wordt beschreven in CVE-2016-9131. [RT # 43522]
  • Het was mogelijk om beweringen te activeren bij het verwerken van een antwoord. Deze fout wordt beschreven in CVE-2016-8864. [RT # 43465]

Wat is nieuw in versie 9.11.0-P1:

  • Beveiligingsfixes:
  • Een onjuiste grenscontrole in het OPENPGPKEY rdatatype kan een assertiefout veroorzaken. Deze fout wordt beschreven in CVE-2015-5986. [RT # 40286]
  • Een buffer accounting-fout kan leiden tot een assertion failure bij het parseren van bepaalde ongeldige DNSSEC-sleutels. Deze fout werd ontdekt door Hanno Bock van het Fuzzing-project en wordt beschreven in CVE-2015-5722. [RT # 40212]
  • Een speciaal vervaardigde query kan een assertiefout veroorzaken in message.c. Deze fout is ontdekt door Jonathan Foote en wordt beschreven in CVE-2015-5477. [RT # 40046]
  • Op servers die zijn geconfigureerd om DNSSEC-validatie uit te voeren, kan een assertiefout op de antwoorden van een speciaal geconfigureerde server worden geactiveerd. Deze fout is ontdekt door Breno Silveira Soares en wordt beschreven in CVE-2015-4620. [RT # 39795]
  • Nieuwe functies:
  • Nieuwe quota zijn toegevoegd om de query's te beperken die door recursieve resolvers worden verzonden naar gezaghebbende servers die denial-of-service-aanvallen ondergaan. Indien geconfigureerd, kunnen deze opties zowel de schade toebrengen die wordt toegebracht aan gezaghebbende servers als ook de uitputting van bronnen voorkomen die kan worden ondervonden door recursives wanneer ze worden gebruikt als een voertuig voor een dergelijke aanval. OPMERKING: deze opties zijn standaard niet beschikbaar; gebruik configure --enable-fetchlimit om ze in de build op te nemen. + fetches-per-server beperkt het aantal gelijktijdige query's dat naar een enkele gezaghebbende server kan worden verzonden. De geconfigureerde waarde is een startpunt; het wordt automatisch naar beneden bijgesteld als de server geheel of gedeeltelijk niet reageert. Het algoritme dat wordt gebruikt om het quotum aan te passen, kan worden geconfigureerd via de optie fetch-quota-params. + fetches-per-zone beperkt het aantal gelijktijdige query's die voor namen binnen een enkel domein kunnen worden verzonden. (Opmerking: in tegenstelling tot "ophalen-per-server", is deze waarde niet zelf-afstemmend.) Statistieken-tellers zijn ook toegevoegd om het aantal zoekopdrachten bij te houden dat door deze quota wordt beïnvloed.
  • dig + ednsflags kunnen nu worden gebruikt om nog te definiëren EDNS-vlaggen in DNS-aanvragen in te stellen.
  • dig + [no] ednsnegotiation kan nu worden gebruikt voor het in- / uitschakelen van EDNS-versieonderhandeling.
  • Er is nu een --enable-querytrace-configuratieschakelaar beschikbaar voor zeer uitgebreide query-tracelogging. Deze optie kan alleen tijdens het compileren worden ingesteld. Deze optie heeft een negatieve invloed op de prestaties en moet alleen worden gebruikt voor foutopsporing.
  • Functiewijzigingen:
  • Grote wijzigingen in inline ondertekeningen moeten minder storend zijn. Het genereren van handtekeningen gebeurt nu incrementeel; het aantal handtekeningen dat in elk quantum moet worden gegenereerd, wordt bepaald door "signatuur-ondertekeningsnummer;". [RT # 37927]
  • De experimentele SIT-extensie gebruikt nu het EDNS COOKIE optiecodepunt (10) en wordt weergegeven als "COOKIE:". De bestaande named.conf-richtlijnen; "request-sit", "sit-secret" en "nosit-udp-size", zijn nog steeds geldig en worden vervangen door "send-cookie", "cookie-geheim" en "nocookie-udp-size" in BIND 9.11 . De bestaande graafrichtlijn "+ sit" is nog steeds geldig en wordt vervangen door "+ cookie" in BIND 9.11.
  • Wanneer een zoekopdracht opnieuw wordt geprobeerd via TCP vanwege het eerste antwoord dat wordt afgebroken, zal dig nu de COOKIE-waarde verzenden die door de server is geretourneerd in het eerdere antwoord. [RT # 39047]
  • Het ophalen van het lokale poortbereik van net.ipv4.ip_local_port_range op Linux wordt nu ondersteund.
  • Active Directory-namen van het formulier gc._msdcs. worden nu geaccepteerd als geldige hostnamen bij het gebruik van de optie voor controlenamen. is nog steeds beperkt tot letters, cijfers en koppeltekens.
  • Namen met rich text worden nu geaccepteerd als geldige hostnamen in PTR-records in DNS-SD reverse lookup-zones, zoals gespecificeerd in RFC 6763. [RT # 37889]
  • Bugfixes:
  • Asynchrone zoneladen werden niet correct verwerkt toen de zonelading al aan de gang was; dit zou een crash in zt.c kunnen veroorzaken. [RT # 37573]
  • Een race tijdens shutdown of herconfiguratie kan leiden tot een assertion failure in mem.c. [RT # 38979]
  • Sommige antwoord-opmaakopties werkten niet correct met dig + short. [RT # 39291]
  • Onjuist gevormde records van sommige typen, waaronder NSAP en UNSPEC, kunnen leiden tot assertiefouten bij het laden van tekstzonebestanden. [RT # 40274] [RT # 40285]
  • Er is een mogelijk crash gerepareerd in ratelimiter.c veroorzaakt doordat NOTIFY-berichten zijn verwijderd uit de verkeerde snelheidsbeperkingswachtrij. [RT # 40350]
  • De standaard rrset-volgorde van willekeurig werd inconsistent toegepast. [RT # 40456]
  • BADVERS-reacties van beschadigde, gezaghebbende naamservers zijn niet correct verwerkt. [RT # 40427]
  • <>Verschillende fouten zijn opgelost in de RPZ-implementatie: + Beleidszones die niet specifiek recursie vereisten, konden worden behandeld alsof ze dat deden; bijgevolg stelt qname-wait-recurse nr; was soms niet effectief. Dit is gecorrigeerd. In de meeste configuraties zullen gedragsveranderingen als gevolg van deze fix niet opvallen. [RT # 39229] + De server kan crashen als beleidszones worden bijgewerkt (bijvoorbeeld via rndc reload of een binnenkomende zoneoverdracht), terwijl de RPZ-verwerking nog aan de gang was voor een actieve query. [RT # 39415] + Op servers met een of meer beleidszones die zijn geconfigureerd als slaven, als een beleidszone is bijgewerkt tijdens regulier bedrijf (in plaats van bij het opstarten) met een herladen van de volledige zone, zoals via AXFR, kan een bug de RPZ-samenvatting toestaan gegevens niet synchroon lopen, wat mogelijk kan leiden tot een assertiefout in rpz.c bij verdere incrementele updates in de zone, zoals via IXFR. [RT # 39567] + De server kan overeenkomen met een korter voorvoegsel dan wat beschikbaar was in triggers van het beleid van CLIENT-IP en daarom kon een onverwachte actie worden ondernomen. Dit is gecorrigeerd. [RT # 39481] + De server kan vastlopen als een herladen van een RPZ-zone is gestart terwijl een andere herladen van dezelfde zone al aan de gang was.

    [RT # 39649] + Querynamen kunnen overeenkomen met de verkeerde beleidszone als jokertekenrecords aanwezig waren. [RT # 40357]

Wat is nieuw in versie 9.11.0:

  • Beveiligingsfixes:
  • Een onjuiste grenscontrole in het OPENPGPKEY rdatatype kan een assertiefout veroorzaken. Deze fout wordt beschreven in CVE-2015-5986. [RT # 40286]
  • Een buffer accounting-fout kan leiden tot een assertion failure bij het parseren van bepaalde ongeldige DNSSEC-sleutels. Deze fout werd ontdekt door Hanno Bock van het Fuzzing-project en wordt beschreven in CVE-2015-5722. [RT # 40212]
  • Een speciaal vervaardigde query kan een assertiefout veroorzaken in message.c. Deze fout is ontdekt door Jonathan Foote en wordt beschreven in CVE-2015-5477. [RT # 40046]
  • Op servers die zijn geconfigureerd om DNSSEC-validatie uit te voeren, kan een assertiefout op de antwoorden van een speciaal geconfigureerde server worden geactiveerd. Deze fout is ontdekt door Breno Silveira Soares en wordt beschreven in CVE-2015-4620. [RT # 39795]
  • Nieuwe functies:
  • Nieuwe quota zijn toegevoegd om de query's te beperken die door recursieve resolvers worden verzonden naar gezaghebbende servers die denial-of-service-aanvallen ondergaan. Indien geconfigureerd, kunnen deze opties zowel de schade toebrengen die wordt toegebracht aan gezaghebbende servers als ook de uitputting van bronnen voorkomen die kan worden ondervonden door recursives wanneer ze worden gebruikt als een voertuig voor een dergelijke aanval. OPMERKING: deze opties zijn standaard niet beschikbaar; gebruik configure --enable-fetchlimit om ze in de build op te nemen. + fetches-per-server beperkt het aantal gelijktijdige query's dat naar een enkele gezaghebbende server kan worden verzonden. De geconfigureerde waarde is een startpunt; het wordt automatisch naar beneden bijgesteld als de server geheel of gedeeltelijk niet reageert. Het algoritme dat wordt gebruikt om het quotum aan te passen, kan worden geconfigureerd via de optie fetch-quota-params. + fetches-per-zone beperkt het aantal gelijktijdige query's die voor namen binnen een enkel domein kunnen worden verzonden. (Opmerking: in tegenstelling tot "ophalen-per-server", is deze waarde niet zelf-afstemmend.) Statistieken-tellers zijn ook toegevoegd om het aantal zoekopdrachten bij te houden dat door deze quota wordt beïnvloed.
  • dig + ednsflags kunnen nu worden gebruikt om nog te definiëren EDNS-vlaggen in DNS-aanvragen in te stellen.
  • dig + [no] ednsnegotiation kan nu worden gebruikt voor het in- / uitschakelen van EDNS-versieonderhandeling.
  • Er is nu een --enable-querytrace-configuratieschakelaar beschikbaar voor zeer uitgebreide query-tracelogging. Deze optie kan alleen tijdens het compileren worden ingesteld. Deze optie heeft een negatieve invloed op de prestaties en moet alleen worden gebruikt voor foutopsporing.
  • Functiewijzigingen:
  • Grote wijzigingen in inline ondertekeningen moeten minder storend zijn. Het genereren van handtekeningen gebeurt nu incrementeel; het aantal handtekeningen dat in elk quantum moet worden gegenereerd, wordt bepaald door "signatuur-ondertekeningsnummer;". [RT # 37927]
  • De experimentele SIT-extensie gebruikt nu het EDNS COOKIE optiecodepunt (10) en wordt weergegeven als "COOKIE:". De bestaande named.conf-richtlijnen; "request-sit", "sit-secret" en "nosit-udp-size", zijn nog steeds geldig en worden vervangen door "send-cookie", "cookie-geheim" en "nocookie-udp-size" in BIND 9.11 . De bestaande graafrichtlijn "+ sit" is nog steeds geldig en wordt vervangen door "+ cookie" in BIND 9.11.
  • Wanneer een zoekopdracht opnieuw wordt geprobeerd via TCP vanwege het eerste antwoord dat wordt afgebroken, zal dig nu de COOKIE-waarde verzenden die door de server is geretourneerd in het eerdere antwoord. [RT # 39047]
  • Het ophalen van het lokale poortbereik van net.ipv4.ip_local_port_range op Linux wordt nu ondersteund.
  • Active Directory-namen van het formulier gc._msdcs. worden nu geaccepteerd als geldige hostnamen bij het gebruik van de optie voor controlenamen. is nog steeds beperkt tot letters, cijfers en koppeltekens.
  • Namen met rich text worden nu geaccepteerd als geldige hostnamen in PTR-records in DNS-SD reverse lookup-zones, zoals gespecificeerd in RFC 6763. [RT # 37889]
  • Bugfixes:
  • Asynchrone zoneladen werden niet correct verwerkt toen de zonelading al aan de gang was; dit zou een crash in zt.c kunnen veroorzaken. [RT # 37573]
  • Een race tijdens shutdown of herconfiguratie kan leiden tot een assertion failure in mem.c. [RT # 38979]
  • Sommige antwoord-opmaakopties werkten niet correct met dig + short. [RT # 39291]
  • Onjuist gevormde records van sommige typen, waaronder NSAP en UNSPEC, kunnen leiden tot assertiefouten bij het laden van tekstzonebestanden. [RT # 40274] [RT # 40285]
  • Er is een mogelijk crash gerepareerd in ratelimiter.c veroorzaakt doordat NOTIFY-berichten zijn verwijderd uit de verkeerde snelheidsbeperkingswachtrij. [RT # 40350]
  • De standaard rrset-volgorde van willekeurig werd inconsistent toegepast. [RT # 40456]
  • BADVERS-reacties van beschadigde, gezaghebbende naamservers zijn niet correct verwerkt. [RT # 40427]
  • <>Verschillende fouten zijn opgelost in de RPZ-implementatie: + Beleidszones die niet specifiek recursie vereisten, konden worden behandeld alsof ze dat deden; bijgevolg stelt qname-wait-recurse nr; was soms niet effectief. Dit is gecorrigeerd. In de meeste configuraties zullen gedragsveranderingen als gevolg van deze fix niet opvallen. [RT # 39229] + De server kan crashen als beleidszones worden bijgewerkt (bijvoorbeeld via rndc reload of een binnenkomende zoneoverdracht), terwijl de RPZ-verwerking nog aan de gang was voor een actieve query. [RT # 39415] + Op servers met een of meer beleidszones die zijn geconfigureerd als slaven, als een beleidszone is bijgewerkt tijdens regulier bedrijf (in plaats van bij het opstarten) met een herladen van de volledige zone, zoals via AXFR, kan een bug de RPZ-samenvatting toestaan gegevens niet synchroon lopen, wat mogelijk kan leiden tot een assertiefout in rpz.c bij verdere incrementele updates in de zone, zoals via IXFR. [RT # 39567] + De server kan overeenkomen met een korter voorvoegsel dan wat beschikbaar was in triggers van het beleid van CLIENT-IP en daarom kon een onverwachte actie worden ondernomen. Dit is gecorrigeerd. [RT # 39481] + De server kan vastlopen als een herladen van een RPZ-zone is gestart terwijl een andere herladen van dezelfde zone al aan de gang was.

    [RT # 39649] + Querynamen kunnen overeenkomen met de verkeerde beleidszone als jokertekenrecords aanwezig waren. [RT # 40357]

Wat is nieuw in versie 9.10.4-P3:

  • Beveiligingsfixes:
  • Een onjuiste grenscontrole in het OPENPGPKEY rdatatype kan een assertiefout veroorzaken. Deze fout wordt beschreven in CVE-2015-5986. [RT # 40286]
  • Een buffer accounting-fout kan leiden tot een assertion failure bij het parseren van bepaalde ongeldige DNSSEC-sleutels. Deze fout werd ontdekt door Hanno Bock van het Fuzzing-project en wordt beschreven in CVE-2015-5722. [RT # 40212]
  • Een speciaal vervaardigde query kan een assertiefout veroorzaken in message.c. Deze fout is ontdekt door Jonathan Foote en wordt beschreven in CVE-2015-5477. [RT # 40046]
  • Op servers die zijn geconfigureerd om DNSSEC-validatie uit te voeren, kan een assertiefout op de antwoorden van een speciaal geconfigureerde server worden geactiveerd. Deze fout is ontdekt door Breno Silveira Soares en wordt beschreven in CVE-2015-4620. [RT # 39795]
  • Nieuwe functies:
  • Nieuwe quota zijn toegevoegd om de query's te beperken die door recursieve resolvers worden verzonden naar gezaghebbende servers die denial-of-service-aanvallen ondergaan. Indien geconfigureerd, kunnen deze opties zowel de schade toebrengen die wordt toegebracht aan gezaghebbende servers als ook de uitputting van bronnen voorkomen die kan worden ondervonden door recursives wanneer ze worden gebruikt als een voertuig voor een dergelijke aanval. OPMERKING: deze opties zijn standaard niet beschikbaar; gebruik configure --enable-fetchlimit om ze in de build op te nemen. + fetches-per-server beperkt het aantal gelijktijdige query's dat naar een enkele gezaghebbende server kan worden verzonden. De geconfigureerde waarde is een startpunt; het wordt automatisch naar beneden bijgesteld als de server geheel of gedeeltelijk niet reageert. Het algoritme dat wordt gebruikt om het quotum aan te passen, kan worden geconfigureerd via de optie fetch-quota-params. + fetches-per-zone beperkt het aantal gelijktijdige query's die voor namen binnen een enkel domein kunnen worden verzonden. (Opmerking: in tegenstelling tot "ophalen-per-server", is deze waarde niet zelf-afstemmend.) Statistieken-tellers zijn ook toegevoegd om het aantal zoekopdrachten bij te houden dat door deze quota wordt beïnvloed.
  • dig + ednsflags kunnen nu worden gebruikt om nog te definiëren EDNS-vlaggen in DNS-aanvragen in te stellen.
  • dig + [no] ednsnegotiation kan nu worden gebruikt voor het in- / uitschakelen van EDNS-versieonderhandeling.
  • Er is nu een --enable-querytrace-configuratieschakelaar beschikbaar voor zeer uitgebreide query-tracelogging. Deze optie kan alleen tijdens het compileren worden ingesteld. Deze optie heeft een negatieve invloed op de prestaties en moet alleen worden gebruikt voor foutopsporing.
  • Functiewijzigingen:
  • Grote wijzigingen in inline ondertekeningen moeten minder storend zijn. Het genereren van handtekeningen gebeurt nu incrementeel; het aantal handtekeningen dat in elk quantum moet worden gegenereerd, wordt bepaald door "signatuur-ondertekeningsnummer;". [RT # 37927]
  • De experimentele SIT-extensie gebruikt nu het EDNS COOKIE optiecodepunt (10) en wordt weergegeven als "COOKIE:". De bestaande named.conf-richtlijnen; "request-sit", "sit-secret" en "nosit-udp-size", zijn nog steeds geldig en worden vervangen door "send-cookie", "cookie-geheim" en "nocookie-udp-size" in BIND 9.11 . De bestaande graafrichtlijn "+ sit" is nog steeds geldig en wordt vervangen door "+ cookie" in BIND 9.11.
  • Wanneer een zoekopdracht opnieuw wordt geprobeerd via TCP vanwege het eerste antwoord dat wordt afgebroken, zal dig nu de COOKIE-waarde verzenden die door de server is geretourneerd in het eerdere antwoord. [RT # 39047]
  • Het ophalen van het lokale poortbereik van net.ipv4.ip_local_port_range op Linux wordt nu ondersteund.
  • Active Directory-namen van het formulier gc._msdcs. worden nu geaccepteerd als geldige hostnamen bij het gebruik van de optie voor controlenamen. is nog steeds beperkt tot letters, cijfers en koppeltekens.
  • Namen met rich text worden nu geaccepteerd als geldige hostnamen in PTR-records in DNS-SD reverse lookup-zones, zoals gespecificeerd in RFC 6763. [RT # 37889]
  • Bugfixes:
  • Asynchrone zoneladen werden niet correct verwerkt toen de zonelading al aan de gang was; dit zou een crash in zt.c kunnen veroorzaken. [RT # 37573]
  • Een race tijdens shutdown of herconfiguratie kan leiden tot een assertion failure in mem.c. [RT # 38979]
  • Sommige antwoord-opmaakopties werkten niet correct met dig + short. [RT # 39291]
  • Onjuist gevormde records van sommige typen, waaronder NSAP en UNSPEC, kunnen leiden tot assertiefouten bij het laden van tekstzonebestanden. [RT # 40274] [RT # 40285]
  • Er is een mogelijk crash gerepareerd in ratelimiter.c veroorzaakt doordat NOTIFY-berichten zijn verwijderd uit de verkeerde snelheidsbeperkingswachtrij. [RT # 40350]
  • De standaard rrset-volgorde van willekeurig werd inconsistent toegepast. [RT # 40456]
  • BADVERS-reacties van beschadigde, gezaghebbende naamservers zijn niet correct verwerkt. [RT # 40427]
  • <>Verschillende fouten zijn opgelost in de RPZ-implementatie: + Beleidszones die niet specifiek recursie vereisten, konden worden behandeld alsof ze dat deden; bijgevolg stelt qname-wait-recurse nr; was soms niet effectief. Dit is gecorrigeerd. In de meeste configuraties zullen gedragsveranderingen als gevolg van deze fix niet opvallen. [RT # 39229] + De server kan crashen als beleidszones worden bijgewerkt (bijvoorbeeld via rndc reload of een binnenkomende zoneoverdracht), terwijl de RPZ-verwerking nog aan de gang was voor een actieve query. [RT # 39415] + Op servers met een of meer beleidszones die zijn geconfigureerd als slaven, als een beleidszone is bijgewerkt tijdens regulier bedrijf (in plaats van bij het opstarten) met een herladen van de volledige zone, zoals via AXFR, kan een bug de RPZ-samenvatting toestaan gegevens niet synchroon lopen, wat mogelijk kan leiden tot een assertiefout in rpz.c bij verdere incrementele updates in de zone, zoals via IXFR. [RT # 39567] + De server kan overeenkomen met een korter voorvoegsel dan wat beschikbaar was in triggers van het beleid van CLIENT-IP en daarom kon een onverwachte actie worden ondernomen. Dit is gecorrigeerd. [RT # 39481] + De server kan vastlopen als een herladen van een RPZ-zone is gestart terwijl een andere herladen van dezelfde zone al aan de gang was.[RT # 39649] + Querynamen kunnen overeenkomen met de verkeerde beleidszone als jokertekenrecords aanwezig waren. [RT # 40357]

Vergelijkbare software

hrdns
hrdns

14 Apr 15

r53
r53

11 May 15

Dnsmasq
Dnsmasq

2 Sep 17

DNSSEC-Tools
DNSSEC-Tools

12 May 15

Reacties op BIND

Reacties niet gevonden
Commentaar toe te voegen
Zet op de beelden!