BIND

BIND (Berkeley Internet Name Domain) er en UNIX-kommandolinje, der distribuerer en open source-implementering af DNS-protokollen (Domain Name System). Den består af et resolverbibliotek, en server / daemon kaldet `navngivet 'samt softwareværktøjer til at teste og verificere den korrekte drift af DNS-serverne.

BIND blev oprindeligt skrevet ved University of California i Berkeley og blev underlagt mange organisationer, herunder Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, US Defense Information Systems Agency, USENIX Association, Process Software Corporation, Nominum, og Stichting NLNet & ndash; NLNet Foundation.

Hvad inkluderes?

Som nævnt består BIND af et domænenavnssystem server, et domænenavn system resolver bibliotek og software værktøjer til test af servere. Mens implementeringen af ​​DNS-serveren er ansvarlig for at besvare alle de modtagne spørgsmål ved at bruge reglerne angivet i de officielle DNS-protokollstandarder, løser DNS resolver-biblioteket spørgsmål om domænenavne.

Understøttede operativsystemer

BIND er specielt designet til GNU / Linux-platformen, og det skal fungere godt med enhver distribution af Linux, herunder Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, openSUSE, Mageia, og mange andre. Den understøtter både 32-bit og 64-bit instruktion sæt arkitekturer.

Projektet distribueres som en enkelt universel tarball, der indeholder kildekoden til BIND, så brugerne kan optimere softwaren til deres hardwareplatform og operativsystem (se ovenfor for understøttede operativsystemer og arkitekturer).

Hvad er nyt i denne udgave:

• En kodningsfejl i nxdomain-redirect-funktionen kan føre til en fejlsøgning, hvis omdirigeringsnavneområdet blev serveret fra en lokal autoritativ datakilde, f.eks. en lokal zone eller en DLZ i stedet for via rekursiv opslag. Denne fejl er beskrevet i CVE-2016-9778. [RT # 43837]
• Navngivet kunne mishandle myndighedssektioner, der manglede RRSIGs, der udløste et påstandefejl. Denne fejl er beskrevet i CVE-2016-9444. [RT # 43632]
• Navngivet mishandled nogle svar, hvor dækker RRSIG-poster returneres uden de ønskede data, hvilket resulterer i et påstået fiasko. Denne fejl er beskrevet i CVE-2016-9147. [RT # 43548]
• Navngivet forkert forsøgte at cache TKEY-poster, der kunne udløse et påstandefejl, da der var en fejl i klassen. Denne fejl er beskrevet i CVE-2016-9131. [RT # 43522]
• Det var muligt at udløse påstande ved behandling af et svar. Denne fejl er beskrevet i CVE-2016-8864. [RT # 43465]

Hvad er nyt i version 9.11.2:

• En kodningsfejl i nxdomain-redirect-funktionen kan føre til en fejlsøgning, hvis omdirigeringsnavneområdet blev serveret fra en lokal autoritativ datakilde, f.eks. en lokal zone eller en DLZ i stedet for via rekursiv opslag. Denne fejl er beskrevet i CVE-2016-9778. [RT # 43837]
• Navngivet kunne mishandle myndighedssektioner, der manglede RRSIGs, der udløste et påstandefejl. Denne fejl er beskrevet i CVE-2016-9444. [RT # 43632]
• Navngivet mishandled nogle svar, hvor dækker RRSIG-poster returneres uden de ønskede data, hvilket resulterer i et påstået fiasko. Denne fejl er beskrevet i CVE-2016-9147. [RT # 43548]
• Navngivet forkert forsøgte at cache TKEY-poster, der kunne udløse et påstandefejl, da der var en fejl i klassen. Denne fejl er beskrevet i CVE-2016-9131. [RT # 43522]
• Det var muligt at udløse påstande ved behandling af et svar. Denne fejl er beskrevet i CVE-2016-8864. [RT # 43465]

Hvad er nyt i version 9.11.1-P3:

• En kodningsfejl i nxdomain-redirect-funktionen kan føre til en fejlsøgning, hvis omdirigeringsnavneområdet blev serveret fra en lokal autoritativ datakilde, f.eks. en lokal zone eller en DLZ i stedet for via rekursiv opslag. Denne fejl er beskrevet i CVE-2016-9778. [RT # 43837]
• Navngivet kunne mishandle myndighedssektioner, der manglede RRSIGs, der udløste et påstandefejl. Denne fejl er beskrevet i CVE-2016-9444. [RT # 43632]
• Navngivet mishandled nogle svar, hvor dækker RRSIG-poster returneres uden de ønskede data, hvilket resulterer i et påstået fiasko. Denne fejl er beskrevet i CVE-2016-9147. [RT # 43548]
• Navngivet forkert forsøgte at cache TKEY-poster, der kunne udløse et påstandefejl, da der var en fejl i klassen. Denne fejl er beskrevet i CVE-2016-9131. [RT # 43522]
• Det var muligt at udløse påstande ved behandling af et svar. Denne fejl er beskrevet i CVE-2016-8864. [RT # 43465]

Hvad er nyt i version 9.11.1-P1:

• En kodningsfejl i nxdomain-redirect-funktionen kan føre til en fejlsøgning, hvis omdirigeringsnavneområdet blev serveret fra en lokal autoritativ datakilde, f.eks. en lokal zone eller en DLZ i stedet for via rekursiv opslag. Denne fejl er beskrevet i CVE-2016-9778. [RT # 43837]
• Navngivet kunne mishandle myndighedssektioner, der manglede RRSIGs, der udløste et påstandefejl. Denne fejl er beskrevet i CVE-2016-9444. [RT # 43632]
• Navngivet mishandled nogle svar, hvor dækker RRSIG-poster returneres uden de ønskede data, hvilket resulterer i et påstået fiasko. Denne fejl er beskrevet i CVE-2016-9147. [RT # 43548]
• Navngivet forkert forsøgte at cache TKEY-poster, der kunne udløse et påstandefejl, da der var en fejl i klassen. Denne fejl er beskrevet i CVE-2016-9131. [RT # 43522]
• Det var muligt at udløse påstande ved behandling af et svar. Denne fejl er beskrevet i CVE-2016-8864. [RT # 43465]

Hvad er nyt i version 9.11.1:

• En kodningsfejl i nxdomain-redirect-funktionen kan føre til en fejlsøgning, hvis omdirigeringsnavneområdet blev serveret fra en lokal autoritativ datakilde, f.eks. en lokal zone eller en DLZ i stedet for via rekursiv opslag. Denne fejl er beskrevet i CVE-2016-9778. [RT # 43837]
• Navngivet kunne mishandle myndighedssektioner, der manglede RRSIGs, der udløste et påstandefejl. Denne fejl er beskrevet i CVE-2016-9444. [RT # 43632]
• Navngivet mishandled nogle svar, hvor dækker RRSIG-poster returneres uden de ønskede data, hvilket resulterer i et påstået fiasko. Denne fejl er beskrevet i CVE-2016-9147. [RT # 43548]
• Navngivet forkert forsøgte at cache TKEY-poster, der kunne udløse et påstandefejl, da der var en fejl i klassen. Denne fejl er beskrevet i CVE-2016-9131. [RT # 43522]
• Det var muligt at udløse påstande ved behandling af et svar. Denne fejl er beskrevet i CVE-2016-8864. [RT # 43465]

Hvad er nyt i version 9.11.0-P2:

• En kodningsfejl i nxdomain-redirect-funktionen kan føre til et påstandefejl, hvis omdirigeringsnavneområdet blev serveret fra en lokal autoritativ datakilde, som f.eks. en lokal zone eller en DLZ i stedet for via rekursiv opslag. Denne fejl er beskrevet i CVE-2016-9778. [RT # 43837]
• Navngivet kunne mishandle myndighedssektioner, der manglede RRSIGs, der udløste et påstandefejl. Denne fejl er beskrevet i CVE-2016-9444. [RT # 43632]
• Navngivet mishandled nogle svar, hvor dækker RRSIG-poster returneres uden de ønskede data, hvilket resulterer i et påstået fiasko. Denne fejl er beskrevet i CVE-2016-9147. [RT # 43548]
• Navngivet forkert forsøgte at cache TKEY-poster, der kunne udløse et påstandefejl, da der var en fejl i klassen. Denne fejl er beskrevet i CVE-2016-9131. [RT # 43522]
• Det var muligt at udløse påstande ved behandling af et svar. Denne fejl er beskrevet i CVE-2016-8864. [RT # 43465]

Hvad er nyt i version 9.11.0-P1:

• Sikkerhedsrettelser:
• En ukorrekt grænsekontrol i OPENPGPKEY rdatatype kan udløse et påstandefejl. Denne fejl er beskrevet i CVE-2015-5986. [RT # 40286]
• En bufferregnskabsfejl kan udløse et påstandefejl ved analyse af visse fejlformede DNSSEC-nøgler. Denne fejl blev opdaget af Hanno Bock fra Fuzzing Project, og er beskrevet i CVE-2015-5722. [RT # 40212]
• En specielt udformet forespørgsel kan udløse et påstandefejl i message.c. Denne fejl blev opdaget af Jonathan Foote, og er beskrevet i CVE-2015-5477. [RT # 40046]
• På servere, der er konfigureret til at udføre DNSSEC-validering, kan et påstandefejl udløses på svar fra en specielt konfigureret server. Denne fejl blev opdaget af Breno Silveira Soares og er beskrevet i CVE-2015-4620. [RT # 39795]
• Nye funktioner:
• Nye kvoter er blevet tilføjet for at begrænse de forespørgsler, der sendes af rekursive resolvere til autoritative servere, der oplever deial-of-service-angreb. Når de er konfigureret, kan disse muligheder både reducere den skade, der er gjort for autoritative servere og også undgå den ressourceudmattelse, der kan opleves af rekursiver, når de bruges som et køretøj til et sådant angreb. BEMÆRK: Disse indstillinger er ikke tilgængelige som standard; Brug configure --enable-fetchlimit til at inkludere dem i bygningen. + fetches-per-server begrænser antallet af samtidige forespørgsler, som kan sendes til en enkelt autoritativ server. Den konfigurerede værdi er et udgangspunkt; Den justeres automatisk nedad, hvis serveren er delvist eller fuldstændig ikke-lydhør. Algoritmen, der bruges til at justere kvoten, kan konfigureres via indstillingen Hent-kvote-parametre. + henter pr. zone begrænser antallet af samtidige forespørgsler, der kan sendes til navne inden for et enkelt domæne. (Bemærk: I modsætning til "hentninger pr. Server" er denne værdi ikke selvindstillende.) Statistiske tællere er også blevet tilføjet for at spore antallet af forespørgsler, der berøres af disse kvoter.
• dig + ednsflags kan nu bruges til at indstille endnu-definerede EDNS-flag i DNS-anmodninger.
• grave + [nej] ednsnegotiation kan nu bruges til at aktivere / deaktivere EDNS version forhandling.
• En config-switch til -enable-querytrace er nu tilgængelig for at aktivere meget verbose forespørgselstracelogging. Denne indstilling kan kun indstilles på kompileringstidspunktet. Denne indstilling har en negativ præstationspåvirkning og bør kun bruges til debugging.
• Funktionsændringer:
• Store inline-signeringsændringer skal være mindre forstyrrende. Signaturgenerering er nu gjort trinvist; antallet af signaturer, der skal genereres i hvert kvantum, styres af "sig-signatur-signaturnummer;". [RT # 37927]
• Den eksperimentelle SIT-udvidelse bruger nu EDNS COOKIE-valgkoden (10) og vises som "COOKIE:". De eksisterende named.conf direktiver; "request-sit", "sit-secret" og "nosit-udp-size" er stadig gyldige og vil blive erstattet af "send-cookie", "cookie-secret" og "nocookie-udp-size" i BIND 9.11 . Det eksisterende gravedirektiv "+ sit" er stadig gyldigt og vil blive erstattet med "+ cookie" i BIND 9.11.
• Når du forsøger en forespørgsel via TCP på grund af at det første svar bliver afkortet, sender graven nu korrekt COOKIE-værdien returneret af serveren i det forudgående svar. [RT # 39047]
• Hentning af det lokale portområde fra net.ipv4.ip_local_port_range på Linux understøttes nu.
• Active Directory navne på formularen gc._msdcs. accepteres nu som gyldige værtsnavne, når du bruger checknavnet. er stadig begrænset til bogstaver, cifre og bindestreger.
• Navne, der indeholder rig tekst, accepteres nu som gyldige værtsnavne i PTR-poster i DNS-SD reverse lookup-zoner som angivet i RFC 6763. [RT # 37889]
• Fejlrettelser:
• Asynkrone zonebelastninger blev ikke håndteret korrekt, da zonebelastningen allerede var i gang; dette kan udløse et nedbrud i zt.c. [RT # 37573]
• Et løb under afbrydelse eller omkonfiguration kan medføre et hævdsfejl i mem.c. [RT # 38979]
• Nogle svarformateringsformater fungerede ikke korrekt med grave + kort. [RT # 39291]
• Uformelle optegnelser af nogle typer, herunder NSAP og UNSPEC, kan udløse påståede fejl ved ilægning af tekstzonefiler. [RT # 40274] [RT # 40285]
• Fastgjort et muligt nedbrud i ratelimiter.c forårsaget af at NOTIFY meddelelser fjernes fra den forkerte begrænsningskø. [RT # 40350]
• Den tilfældige rrset-rækkefølge af tilfældig blev anvendt inkonsekvent. [RT # 40456]
• BADVERS-svar fra brudte autoritative navneservere blev ikke håndteret korrekt. [RT # 40427]
<>Flere fejl er blevet rettet i RPZ-implementeringen: + Policyzoner, der ikke specifikt krævede rekursion, kunne behandles som om de gjorde det; Derfor indstiller qname-wait-recurse no; var nogle gange ineffektivt. Dette er blevet korrigeret. I de fleste konfigurationer vil adfærdsændringer på grund af denne rettelse ikke være mærkbar. [RT # 39229] + Serveren kunne gå ned, hvis politikzoner blev opdateret (fx via rndc-genindlæsning eller en indgående zoneoverførsel), mens RPZ-behandling stadig var vedvarende for en aktiv forespørgsel. [RT # 39415] + På servere med en eller flere politikzoner konfigureret som slaver, hvis en politikzone opdateret under normal drift (i stedet for ved opstart) ved hjælp af en fuld zoneindlæsning, f.eks. Via AXFR, kan en fejl tillade RPZ-sammendraget data falder ud af synkronisering, hvilket potentielt fører til et påstandefejl i rpz.c, når der blev foretaget yderligere inkrementelle opdateringer til zonen, såsom via IXFR. [RT # 39567] + Serveren kunne matche et kortere præfiks end det, der var tilgængeligt i CLIENT-IP-politikudløserne, og derfor kunne en uventet handling ske. Dette er blevet korrigeret. [RT # 39481] + Serveren kunne gå ned, hvis der blev startet en genindlæsning af en RPZ-zone, mens en anden genindlæsning af samme zone allerede var i gang.

[RT # 39649] + Forespørgselsnavne kan svare til den forkerte politikzone, hvis wildcard-optegnelser var til stede. [RT # 40357]

Hvad er nyt i version 9.11.0:

• Sikkerhedsrettelser:
• En ukorrekt grænsekontrol i OPENPGPKEY rdatatype kan udløse et påstandefejl. Denne fejl er beskrevet i CVE-2015-5986. [RT # 40286]
• En bufferregnskabsfejl kan udløse et påstandefejl ved analyse af visse fejlformede DNSSEC-nøgler. Denne fejl blev opdaget af Hanno Bock fra Fuzzing Project, og er beskrevet i CVE-2015-5722. [RT # 40212]
• En specielt udformet forespørgsel kan udløse et påstandefejl i message.c. Denne fejl blev opdaget af Jonathan Foote, og er beskrevet i CVE-2015-5477. [RT # 40046]
• På servere, der er konfigureret til at udføre DNSSEC-validering, kan et påstandefejl udløses på svar fra en specielt konfigureret server. Denne fejl blev opdaget af Breno Silveira Soares og er beskrevet i CVE-2015-4620. [RT # 39795]
• Nye funktioner:
• Nye kvoter er blevet tilføjet for at begrænse de forespørgsler, der sendes af rekursive resolvere til autoritative servere, der oplever deial-of-service-angreb. Når de er konfigureret, kan disse muligheder både reducere den skade, der er gjort for autoritative servere og også undgå den ressourceudmattelse, der kan opleves af rekursiver, når de bruges som et køretøj til et sådant angreb. BEMÆRK: Disse indstillinger er ikke tilgængelige som standard; Brug configure --enable-fetchlimit til at inkludere dem i bygningen. + fetches-per-server begrænser antallet af samtidige forespørgsler, som kan sendes til en enkelt autoritativ server. Den konfigurerede værdi er et udgangspunkt; Den justeres automatisk nedad, hvis serveren er delvist eller fuldstændig ikke-lydhør. Algoritmen, der bruges til at justere kvoten, kan konfigureres via indstillingen Hent-kvote-parametre. + henter pr. zone begrænser antallet af samtidige forespørgsler, der kan sendes til navne inden for et enkelt domæne. (Bemærk: I modsætning til "hentninger pr. Server" er denne værdi ikke selvindstillende.) Statistiske tællere er også blevet tilføjet for at spore antallet af forespørgsler, der berøres af disse kvoter.
• dig + ednsflags kan nu bruges til at indstille endnu-definerede EDNS-flag i DNS-anmodninger.
• grave + [nej] ednsnegotiation kan nu bruges til at aktivere / deaktivere EDNS version forhandling.
• En config-switch til -enable-querytrace er nu tilgængelig for at aktivere meget verbose forespørgselstracelogging. Denne indstilling kan kun indstilles på kompileringstidspunktet. Denne indstilling har en negativ præstationspåvirkning og bør kun bruges til debugging.
• Funktionsændringer:
• Store inline-signeringsændringer skal være mindre forstyrrende. Signaturgenerering er nu gjort trinvist; antallet af signaturer, der skal genereres i hvert kvantum, styres af "sig-signatur-signaturnummer;". [RT # 37927]
• Den eksperimentelle SIT-udvidelse bruger nu EDNS COOKIE-valgkoden (10) og vises som "COOKIE:". De eksisterende named.conf direktiver; "request-sit", "sit-secret" og "nosit-udp-size" er stadig gyldige og vil blive erstattet af "send-cookie", "cookie-secret" og "nocookie-udp-size" i BIND 9.11 . Det eksisterende gravedirektiv "+ sit" er stadig gyldigt og vil blive erstattet med "+ cookie" i BIND 9.11.
• Når du forsøger en forespørgsel via TCP på grund af at det første svar bliver afkortet, sender graven nu korrekt COOKIE-værdien returneret af serveren i det forudgående svar. [RT # 39047]
• Hentning af det lokale portområde fra net.ipv4.ip_local_port_range på Linux understøttes nu.
• Active Directory navne på formularen gc._msdcs. accepteres nu som gyldige værtsnavne, når du bruger checknavnet. er stadig begrænset til bogstaver, cifre og bindestreger.
• Navne, der indeholder rig tekst, accepteres nu som gyldige værtsnavne i PTR-poster i DNS-SD reverse lookup-zoner som angivet i RFC 6763. [RT # 37889]
• Fejlrettelser:
• Asynkrone zonebelastninger blev ikke håndteret korrekt, da zonebelastningen allerede var i gang; dette kan udløse et nedbrud i zt.c. [RT # 37573]
• Et løb under afbrydelse eller omkonfiguration kan medføre et hævdsfejl i mem.c. [RT # 38979]
• Nogle svarformateringsformater fungerede ikke korrekt med grave + kort. [RT # 39291]
• Uformelle optegnelser af nogle typer, herunder NSAP og UNSPEC, kan udløse påståede fejl ved ilægning af tekstzonefiler. [RT # 40274] [RT # 40285]
• Fastgjort et muligt nedbrud i ratelimiter.c forårsaget af at NOTIFY meddelelser fjernes fra den forkerte begrænsningskø. [RT # 40350]
• Den tilfældige rrset-rækkefølge af tilfældig blev anvendt inkonsekvent. [RT # 40456]
• BADVERS-svar fra brudte autoritative navneservere blev ikke håndteret korrekt. [RT # 40427]
<>Flere fejl er blevet rettet i RPZ-implementeringen: + Policyzoner, der ikke specifikt krævede rekursion, kunne behandles som om de gjorde det; Derfor indstiller qname-wait-recurse no; var nogle gange ineffektivt. Dette er blevet korrigeret. I de fleste konfigurationer vil adfærdsændringer på grund af denne rettelse ikke være mærkbar. [RT # 39229] + Serveren kunne gå ned, hvis politikzoner blev opdateret (fx via rndc-genindlæsning eller en indgående zoneoverførsel), mens RPZ-behandling stadig var vedvarende for en aktiv forespørgsel. [RT # 39415] + På servere med en eller flere politikzoner konfigureret som slaver, hvis en politikzone opdateret under normal drift (i stedet for ved opstart) ved hjælp af en fuld zoneindlæsning, f.eks. Via AXFR, kan en fejl tillade RPZ-sammendraget data falder ud af synkronisering, hvilket potentielt fører til et påstandefejl i rpz.c, når der blev foretaget yderligere inkrementelle opdateringer til zonen, såsom via IXFR. [RT # 39567] + Serveren kunne matche et kortere præfiks end det, der var tilgængeligt i CLIENT-IP-politikudløserne, og derfor kunne en uventet handling ske. Dette er blevet korrigeret. [RT # 39481] + Serveren kunne gå ned, hvis der blev startet en genindlæsning af en RPZ-zone, mens en anden genindlæsning af samme zone allerede var i gang.

[RT # 39649] + Forespørgselsnavne kan svare til den forkerte politikzone, hvis wildcard-optegnelser var til stede. [RT # 40357]

Hvad er nyt i version 9.10.4-P3:

• Sikkerhedsrettelser:
• En ukorrekt grænsekontrol i OPENPGPKEY rdatatype kan udløse et påstandefejl. Denne fejl er beskrevet i CVE-2015-5986. [RT # 40286]
• En bufferregnskabsfejl kan udløse et påstandefejl ved analyse af visse fejlformede DNSSEC-nøgler. Denne fejl blev opdaget af Hanno Bock fra Fuzzing Project, og er beskrevet i CVE-2015-5722. [RT # 40212]
• En specielt udformet forespørgsel kan udløse et påstandefejl i message.c. Denne fejl blev opdaget af Jonathan Foote, og er beskrevet i CVE-2015-5477. [RT # 40046]
• På servere, der er konfigureret til at udføre DNSSEC-validering, kan et påstandefejl udløses på svar fra en specielt konfigureret server. Denne fejl blev opdaget af Breno Silveira Soares og er beskrevet i CVE-2015-4620. [RT # 39795]
• Nye funktioner:
• Nye kvoter er blevet tilføjet for at begrænse de forespørgsler, der sendes af rekursive resolvere til autoritative servere, der oplever deial-of-service-angreb. Når de er konfigureret, kan disse muligheder både reducere den skade, der er gjort for autoritative servere og også undgå den ressourceudmattelse, der kan opleves af rekursiver, når de bruges som et køretøj til et sådant angreb. BEMÆRK: Disse indstillinger er ikke tilgængelige som standard; Brug configure --enable-fetchlimit til at inkludere dem i bygningen. + fetches-per-server begrænser antallet af samtidige forespørgsler, som kan sendes til en enkelt autoritativ server. Den konfigurerede værdi er et udgangspunkt; Den justeres automatisk nedad, hvis serveren er delvist eller fuldstændig ikke-lydhør. Algoritmen, der bruges til at justere kvoten, kan konfigureres via indstillingen Hent-kvote-parametre. + henter pr. zone begrænser antallet af samtidige forespørgsler, der kan sendes til navne inden for et enkelt domæne. (Bemærk: I modsætning til "hentninger pr. Server" er denne værdi ikke selvindstillende.) Statistiske tællere er også blevet tilføjet for at spore antallet af forespørgsler, der berøres af disse kvoter.
• dig + ednsflags kan nu bruges til at indstille endnu-definerede EDNS-flag i DNS-anmodninger.
• grave + [nej] ednsnegotiation kan nu bruges til at aktivere / deaktivere EDNS version forhandling.
• En config-switch til -enable-querytrace er nu tilgængelig for at aktivere meget verbose forespørgselstracelogging. Denne indstilling kan kun indstilles på kompileringstidspunktet. Denne indstilling har en negativ præstationspåvirkning og bør kun bruges til debugging.
• Funktionsændringer:
• Store inline-signeringsændringer skal være mindre forstyrrende. Signaturgenerering er nu gjort trinvist; antallet af signaturer, der skal genereres i hvert kvantum, styres af "sig-signatur-signaturnummer;". [RT # 37927]
• Den eksperimentelle SIT-udvidelse bruger nu EDNS COOKIE-valgkoden (10) og vises som "COOKIE:". De eksisterende named.conf direktiver; "request-sit", "sit-secret" og "nosit-udp-size" er stadig gyldige og vil blive erstattet af "send-cookie", "cookie-secret" og "nocookie-udp-size" i BIND 9.11 . Det eksisterende gravedirektiv "+ sit" er stadig gyldigt og vil blive erstattet med "+ cookie" i BIND 9.11.
• Når du forsøger en forespørgsel via TCP på grund af at det første svar bliver afkortet, sender graven nu korrekt COOKIE-værdien returneret af serveren i det forudgående svar. [RT # 39047]
• Hentning af det lokale portområde fra net.ipv4.ip_local_port_range på Linux understøttes nu.
• Active Directory navne på formularen gc._msdcs. accepteres nu som gyldige værtsnavne, når du bruger checknavnet. er stadig begrænset til bogstaver, cifre og bindestreger.
• Navne, der indeholder rig tekst, accepteres nu som gyldige værtsnavne i PTR-poster i DNS-SD reverse lookup-zoner som angivet i RFC 6763. [RT # 37889]
• Fejlrettelser:
• Asynkrone zonebelastninger blev ikke håndteret korrekt, da zonebelastningen allerede var i gang; dette kan udløse et nedbrud i zt.c. [RT # 37573]
• Et løb under afbrydelse eller omkonfiguration kan medføre et hævdsfejl i mem.c. [RT # 38979]
• Nogle svarformateringsformater fungerede ikke korrekt med grave + kort. [RT # 39291]
• Uformelle optegnelser af nogle typer, herunder NSAP og UNSPEC, kan udløse påståede fejl ved ilægning af tekstzonefiler. [RT # 40274] [RT # 40285]
• Fastgjort et muligt nedbrud i ratelimiter.c forårsaget af at NOTIFY meddelelser fjernes fra den forkerte begrænsningskø. [RT # 40350]
• Den tilfældige rrset-rækkefølge af tilfældig blev anvendt inkonsekvent. [RT # 40456]
• BADVERS-svar fra brudte autoritative navneservere blev ikke håndteret korrekt. [RT # 40427]
<>Flere fejl er blevet rettet i RPZ-implementeringen: + Policyzoner, der ikke specifikt krævede rekursion, kunne behandles som om de gjorde det; Derfor indstiller qname-wait-recurse no; var nogle gange ineffektivt. Dette er blevet korrigeret. I de fleste konfigurationer vil adfærdsændringer på grund af denne rettelse ikke være mærkbar. [RT # 39229] + Serveren kunne gå ned, hvis politikzoner blev opdateret (fx via rndc-genindlæsning eller en indgående zoneoverførsel), mens RPZ-behandling stadig var vedvarende for en aktiv forespørgsel. [RT # 39415] + På servere med en eller flere politikzoner konfigureret som slaver, hvis en politikzone opdateret under normal drift (i stedet for ved opstart) ved hjælp af en fuld zoneindlæsning, f.eks. Via AXFR, kan en fejl tillade RPZ-sammendraget data falder ud af synkronisering, hvilket potentielt fører til et påstandefejl i rpz.c, når der blev foretaget yderligere inkrementelle opdateringer til zonen, såsom via IXFR. [RT # 39567] + Serveren kunne matche et kortere præfiks end det, der var tilgængeligt i CLIENT-IP-politikudløserne, og derfor kunne en uventet handling ske. Dette er blevet korrigeret. [RT # 39481] + Serveren kunne gå ned, hvis der blev startet en genindlæsning af en RPZ-zone, mens en anden genindlæsning af samme zone allerede var i gang.[RT # 39649] + Forespørgselsnavne kunne svare til den forkerte politikzone, hvis wildcard-optegnelser var til stede. [RT # 40357]