BIND (Domain Internet Name of Berkeley) یک نرم افزار یونیکس خط فرمان است که پروتکل های پروتکل Domain Name System (DNS) یک منبع باز را توزیع می کند. این شامل یک کتابخانه حل کننده، سرور / daemon به نام `نام '، و همچنین ابزارهای نرم افزاری برای آزمایش و تأیید عملکرد مناسب سرورهای DNS است.
در ابتدا در دانشگاه کالیفرنیا در برکلی نوشته شده بود که BIND توسط سازمان های متعددی از جمله Sun Microsystems، HP، Compaq، IBM، Silicon Graphics، Network Associates، آژانس سیستم های اطلاعات اطلاعات دفاع آمریکا، انجمن USENIX، شرکت فرایند نرم افزار، Nominum، و Stichting NLNet & ndash؛ NLNet Foundation.
چه چیزی را شامل می شود؟
همانطور که قبلا ذکر شد، BIND شامل یک سرور سیستم نام دامنه، یک کتابخانه پیکربندی نام دامنه و ابزارهای نرم افزاری برای آزمایش سرورها می باشد. در حالی که اجرای سرور DNS مسئول پاسخ دادن به همه سوالات دریافت شده با استفاده از قوانین مندرج در استانداردهای پروتکل رسمی DNS است، کتابخانه حل کننده DNS سؤالاتی را درباره نام دامنه حل می کند.
سیستم عامل های پشتیبانی شده
BIND به طور خاص برای پلتفرم گنو / لینوکس طراحی شده و باید با هر توزیع لینوکس، از جمله Debian، Ubuntu، Arch Linux، Fedora، CentOS، Red Hat Enterprise Linux، Slackware، Gentoo، openSUSE، Mageia، و خیلی های دیگر. این برنامه از هر دو معماری مجموعه دستورالعمل های 32 بیتی و 64 بیتی پشتیبانی می کند.
این پروژه به عنوان یک توالی جامع جهانی توزیع شده است که شامل کد منبع BIND است، به کاربران اجازه می دهد که نرم افزار را برای پلاتفرم سخت افزاری و سیستم عامل خود بهینه سازی کنند (در بالا برای سیستم عامل ها و معماری های پشتیبانی شده).
چه جدید در این نسخه است:
یک خطای کدگذاری در ویژگی nxdomain-redirect ممکن است منجر به شکست ادعایی شود اگر فضای نامگذاری تغییر مسیر از یک منبع داده معتبر محلی مثل یک منطقه محلی یا DLZ به جای استفاده از جستجوی بازگشتی استفاده شود. این نقص در CVE-2016-9778 افشا شده است. [RT # 43837]
نامگذاری شده میتواند بخشهای مجوزی را که RRSIG ها را از دست داده است، منجر به شکست ادعایی شود. این نقص در CVE-2016-9444 افشا شده است. [RT # 43632]
بعضی از پاسخ های ناموفق که در آن رکوردهای RRSIG بدون داده های درخواستی که منجر به شکست ادعایی می شوند، بازگردانده می شود. این نقص در CVE-2016-9147 افشا شده است. [RT # 43548]
نام اشتباه سعی در ذخیره سازی سوابق TKEY داشت که می تواند یک شکست ادعا را در زمانی که یک عدم تطابق کلاس وجود داشت. این نقص در CVE-2016-9131 افشا شده است. [RT # 43522]
هنگام پردازش پاسخ ممکن بود که ادعا می کرد. این نقص در CVE-2016-8864 افشا شده است. [RT # 43465]
چه جدید در نسخه 9.11.2 است:
یک خطای کدگذاری در ویژگی nxdomain-redirect ممکن است منجر به شکست ادعایی شود اگر فضای نامگذاری تغییر مسیر از یک منبع داده معتبر محلی مثل یک منطقه محلی یا DLZ به جای استفاده از جستجوی بازگشتی استفاده شود. این نقص در CVE-2016-9778 افشا شده است. [RT # 43837]
نامگذاری شده میتواند بخشهای مجوزی را که RRSIG ها را از دست داده است، منجر به شکست ادعایی شود. این نقص در CVE-2016-9444 افشا شده است. [RT # 43632]
بعضی از پاسخ های ناموفق که در آن رکوردهای RRSIG بدون داده های درخواستی که منجر به شکست ادعایی می شوند، بازگردانده می شود. این نقص در CVE-2016-9147 افشا شده است. [RT # 43548]
نام اشتباه سعی در ذخیره سازی سوابق TKEY داشت که می تواند یک شکست ادعا را در زمانی که یک عدم تطابق کلاس وجود داشت. این نقص در CVE-2016-9131 افشا شده است. [RT # 43522]
هنگام پردازش پاسخ ممکن بود که ادعا می کرد. این نقص در CVE-2016-8864 افشا شده است. [RT # 43465]
چه جدید در نسخه 9.11.1-P3 جدید است:
یک خطای کدگذاری در ویژگی nxdomain-redirect ممکن است منجر به شکست ادعایی شود اگر فضای نامگذاری تغییر مسیر از یک منبع داده معتبر محلی مثل یک منطقه محلی یا DLZ به جای استفاده از جستجوی بازگشتی استفاده شود. این نقص در CVE-2016-9778 افشا شده است. [RT # 43837]
نامگذاری شده میتواند بخشهای مجوزی را که RRSIG ها را از دست داده است، منجر به شکست ادعایی شود. این نقص در CVE-2016-9444 افشا شده است. [RT # 43632]
بعضی از پاسخ های ناموفق که در آن رکوردهای RRSIG بدون داده های درخواستی که منجر به شکست ادعایی می شوند، بازگردانده می شود. این نقص در CVE-2016-9147 افشا شده است. [RT # 43548]
نام اشتباه سعی در ذخیره سازی سوابق TKEY داشت که می تواند یک شکست ادعا را در زمانی که یک عدم تطابق کلاس وجود داشت. این نقص در CVE-2016-9131 افشا شده است. [RT # 43522]
هنگام پردازش پاسخ ممکن بود که ادعا می کرد. این نقص در CVE-2016-8864 افشا شده است. [RT # 43465]
چه جدید در نسخه 9.11.1-P1 جدید است:
یک خطای کدگذاری در ویژگی nxdomain-redirect ممکن است منجر به شکست ادعایی شود اگر فضای نامگذاری تغییر مسیر از یک منبع داده معتبر محلی مثل یک منطقه محلی یا DLZ به جای استفاده از جستجوی بازگشتی استفاده شود. این نقص در CVE-2016-9778 افشا شده است. [RT # 43837]
نامگذاری شده میتواند بخشهای مجوزی را که RRSIG ها را از دست داده است، منجر به شکست ادعایی شود. این نقص در CVE-2016-9444 افشا شده است. [RT # 43632]
بعضی از پاسخ های ناموفق که در آن رکوردهای RRSIG بدون داده های درخواستی که منجر به شکست ادعایی می شوند، بازگردانده می شود. این نقص در CVE-2016-9147 افشا شده است. [RT # 43548]
نام اشتباه سعی در ذخیره سازی سوابق TKEY داشت که می تواند یک شکست ادعا را در زمانی که یک عدم تطابق کلاس وجود داشت. این نقص در CVE-2016-9131 افشا شده است. [RT # 43522]
هنگام پردازش پاسخ ممکن بود که ادعا می کرد. این نقص در CVE-2016-8864 افشا شده است. [RT # 43465]
چه جدید در نسخه 9.11.1 است:
یک خطای کدگذاری در ویژگی nxdomain-redirect ممکن است منجر به شکست ادعایی شود اگر فضای نامگذاری تغییر مسیر از یک منبع داده معتبر محلی مثل یک منطقه محلی یا DLZ به جای استفاده از جستجوی بازگشتی استفاده شود. این نقص در CVE-2016-9778 افشا شده است. [RT # 43837]
نامگذاری شده میتواند بخشهای مجوزی را که RRSIG ها را از دست داده است، منجر به شکست ادعایی شود. این نقص در CVE-2016-9444 افشا شده است. [RT # 43632]
بعضی از پاسخ های ناموفق که در آن رکوردهای RRSIG بدون داده های درخواستی که منجر به شکست ادعایی می شوند، بازگردانده می شود. این نقص در CVE-2016-9147 افشا شده است. [RT # 43548]
نام اشتباه سعی در ذخیره سازی سوابق TKEY داشت که می تواند یک شکست ادعا را در زمانی که یک عدم تطابق کلاس وجود داشت. این نقص در CVE-2016-9131 افشا شده است. [RT # 43522]
هنگام پردازش پاسخ ممکن بود که ادعا می کرد. این نقص در CVE-2016-8864 افشا شده است. [RT # 43465]
چه جدید در نسخه 9.11.0-P2 جدید است:
یک خطای کدگذاری در ویژگی nxdomain-redirect ممکن است منجر به شکست ادعایی شود اگر فضای نامگذاری تغییر مسیر از یک منبع داده معتبر محلی مانند یک منطقه محلی یا DLZ به جای استفاده از جستجوی بازگشتی استفاده شود. این نقص در CVE-2016-9778 افشا شده است. [RT # 43837]
نامگذاری شده میتواند بخشهای مجوزی را که RRSIG ها را از دست داده است، منجر به شکست ادعایی شود. این نقص در CVE-2016-9444 افشا شده است. [RT # 43632]
بعضی از پاسخ های ناموفق که در آن رکوردهای RRSIG بدون داده های درخواستی که منجر به شکست ادعایی می شوند، بازگردانده می شود. این نقص در CVE-2016-9147 افشا شده است. [RT # 43548]
نام اشتباه سعی در ذخیره سازی سوابق TKEY داشت که می تواند یک شکست ادعا را در زمانی که یک عدم تطابق کلاس وجود داشت. این نقص در CVE-2016-9131 افشا شده است. [RT # 43522]
هنگام پردازش پاسخ ممکن بود که ادعا می کرد. این نقص در CVE-2016-8864 افشا شده است. [RT # 43465]
چه جدید در نسخه 9.11.0-P1 جدید است:
رفع امنیت:یک مرجع نادرست مرزی در OPENPGPKEY rdatatype می تواند یک شکست ادعا را ایجاد کند. این نقص در CVE-2015-5986 افشا شده است. [RT # 40286]
یک خطای حسابداری بافر می تواند در هنگام تجزیه برخی از کلید های DNSSEC ناقص شکلدهی، خطای ادعایی ایجاد کند. این نقص توسط Hanno Bock از پروژه Fuzzing کشف شد و در CVE-2015-5722 افشا شده است. [RT # 40212]
یک پرس و جو به طور خاص ساخته شده می تواند یک شکست ادعایی در message.c ایجاد کند. این نقص توسط Jonathan Foote کشف شد و در CVE-2015-5477 افشا شده است. [RT # 40046]
در سرورهای پیکربندی شده برای انجام اعتبار سنجی DNSSEC، یک خطای ادعایی می تواند بر روی پاسخ های یک سرور خاص پیکربندی شود. این نقص توسط Breno Silveira Soares کشف شده است و در CVE-2015-4620 افشا شده است. [RT # 39795]
ویژگی های جدید:معیارهای جدید برای محدود کردن نمایش داده شده توسط فرستنده های حل کننده بازگشتی به سرورهای معتبر که تجربه حملات انکار سرویس را دارند محدود شده است. هنگام پیکربندی، این گزینه ها می توانند هر دو آسیب به سرورهای معتبر را کاهش دهند و از خستگی منابع نیز جلوگیری کنند، که می تواند با استفاده از بازگشتی ها مورد استفاده قرار گیرد، زمانی که آنها به عنوان وسیله نقلیه برای چنین حمله ای مورد استفاده قرار می گیرند. توجه: این گزینه ها به طور پیش فرض در دسترس نیست استفاده از configure -enable-fetchlimit را برای ترکیب آنها در ساخت استفاده کنید. + fetches-per-server تعداد نمایشهای همزمان را که می توان به هر سرور معتبر ارسال کرد محدود می کند. مقدار پیکربندی یک نقطه شروع است؛ اگر سرور به طور جزئی یا کاملا غیرقابل پاسخگو باشد، به صورت خودکار به سمت پایین حرکت می کند. الگوریتم مورد استفاده برای تنظیم سهمیه را می توان از طریق گزینه fetch-quota-params پیکربندی کرد. + fetches per-zone تعداد نمایشهای همزمان را که می توان برای نام درون یک دامنه واحد ارسال کرد محدود می کند. (توجه: بر خلاف "fetches-per-server"، این مقدار خود تنظیم نیست.) شمارنده های آمار همچنین برای ردیابی تعداد پرس و جو تحت تاثیر این سهم اضافه شده است.
dig + ednsflags اکنون می توانید برای تنظیم پرچم های EDNS تعریف شده در برنامه های DNS استفاده کنید.حفاری + [no] ednsneagreement می تواند در حال حاضر استفاده می شود فعال / غیر فعال کردن مذاکرات نسخه EDNS.
اکنون گزینه پیکربندی -nable-querytrace برای فعال کردن تراکنش بسیار پرسوجوی فعال است. این گزینه فقط می تواند در زمان کامپایل تنظیم شود. این گزینه تأثیر منفی دارد و باید فقط برای اشکالزدایی استفاده شود.
تغییرات ویژگی:
تغییرات در بزرگنمایی درون خطی بایستی مخربتر باشد. ایجاد امضا در حال حاضر به صورت مرحله ای انجام می شود؛ تعداد امضاها که در هر کوانتوم تولید می شود، توسط شماره ثبت امضاء SIG کنترل می شود. [RT # 37927]
افزونه آزمایشی SIT اکنون از کد نقطه EDNS COOKIE (10) استفاده می کند و به عنوان "COOKIE:" نمایش داده می شود. دستورالعملهای نامیده شده .conf؛ "request-sit"، "sit-secret" و "nosit-udp-size" هنوز معتبر هستند و در BIND 9.11 با "send-cookie"، "cookie-secret" و "nocookie-udp-size" جایگزین خواهند شد. . دستورالعمل موجود در باره "+ نشست" هنوز معتبر است و در BIND 9.11 با "+ کوکی" جایگزین خواهد شد.
در هنگام درخواست مجدد از طريق TCP به علت پاسخ دهي اوليه، تکرار مي شود، اکنون حفره به درستي مقدار COOKIE را که توسط سرور در پاسخ قبلی ارسال شده است ارسال مي کند. [RT # 39047]در حال بارگیری دامنه محدوده بندر محلی از net.ipv4.ip_local_port_range در لینوکس در حال حاضر پشتیبانی می شود.
نام های فعال دایرکتوری فرم gc._msdcs. در حال حاضر با استفاده از گزینه check-names، بعنوان نام میزبان معتبر پذیرفته می شوند. هنوز به حروف، ارقام و خطوط محدود شده است.
نام های حاوی متن غنی در حال حاضر به عنوان نام های میزبان معتبر در پرونده های PTR در مناطق جستجوی معکوس DNS-SD پذیرفته شده است، همانطور که در RFC 6763 مشخص شده است. [RT # 37889]
رفع اشکال:
هنگامی که بار منطقه در حال حاضر در حال انجام است، بارهای منطقه به طور صحیح مورد استفاده قرار نمی گیرد؛ این می تواند سقوط در zt.c. [RT # 37573]
یک مسابقه در خلال خاتمه یا تنظیم مجدد می تواند باعث عدم تایید در mem.c. [RT # 38979]
برخی از گزینه های قالب بندی پاسخ با dig + کوتاه کار درستی نکردند. [RT # 39291]
سوابق ناقص برخی از انواع، از جمله NSAP و UNSPEC، می تواند شکست های ادعا هنگام بارگذاری فایل های منطقه متن را باعث می شود. [RT # 40274] [RT # 40285]
تصادف احتمالی در ratelimiter.c ثابت شده توسط پیام های NOTIFY که از خط محدود کننده نرخ اشتباه حذف شده اند. [RT # 40350]
دستور rsset به طور تصادفی به صورت تصادفی اجرا شد. [RT # 40456]بازخوانی بازخورد از سرورهای نامگذاری شده نامناسب به درستی انجام نشده است. [RT # 40427]چندین اشکال در پیاده سازی RPZ ثابت شده اند: + مناطق خط مشی که به طور خاص نیازی به بازگشت ندارند، می توانند مانند آن عمل شوند؛ در نتیجه، تنظیم qname-wait-recurse no؛ گاهی بی اثر بود. این اصلاح شده است. در بیشتر تنظیمات، تغییرات رفتاری ناشی از این اصلاح قابل مشاهده نخواهد بود. [RT # 39229] + سرور می تواند در صورتی که مناطق خطمشی به روزرسانی شد (مثلا از طریق بارگیری مجدد Rndc یا انتقال منطقه ای) به روزرسانی شود، در حالی که پردازش RPZ برای یک پرس و جو فعال انجام می شود. [RT # 39415] + در سرورهایی با یک یا چند منطقه خط مشی که به عنوان بردگان پیکربندی شده است، اگر یک منطقه خط مشی در طول عملیات منظم (به جای راه اندازی) به روز شده با استفاده از یک مجدد کامل منطقه، از قبیل از طریق AXFR، یک اشکال بتواند خلاصه RPZ داده ها برای خارج شدن از همگام سازی، به طور بالقوه منجر به نارضایتی ادعایی در rpz.c زمانی که بیشتر به روز رسانی افزایشی به منطقه، از جمله از طریق IXFR ساخته شده است. [RT # 39567] + سرور می تواند پیشوند کوتاهتری را نسبت به آنچه که در سیاست های CLIENT-IP در دسترس بود مطابقت دهد و بنابراین یک اقدام غیرمنتظره می تواند انجام شود. این اصلاح شده است. [RT # 39481] + اگر یک بار مجدد از منطقه RPZ آغاز شد در حالی که بارگیری مجدد دیگری از همان منطقه در حال اجرا بود، سرور می تواند سقوط کند.
[RT # 39649] + نامهای پرس و جو می توانند با منطق خطای اشتباه مطابقت داشته باشند اگر سوابق متفاوتی وجود داشته باشد. [RT # 40357]
چه جدید در نسخه 9.11.0 است:
رفع امنیت:یک مرجع نادرست مرزی در OPENPGPKEY rdatatype می تواند یک شکست ادعا را ایجاد کند. این نقص در CVE-2015-5986 افشا شده است. [RT # 40286]
یک خطای حسابداری بافر می تواند در هنگام تجزیه برخی از کلید های DNSSEC ناقص شکلدهی، خطای ادعایی ایجاد کند. این نقص توسط Hanno Bock از پروژه Fuzzing کشف شد و در CVE-2015-5722 افشا شده است. [RT # 40212]
یک پرس و جو به طور خاص ساخته شده می تواند یک شکست ادعایی در message.c ایجاد کند. این نقص توسط Jonathan Foote کشف شد و در CVE-2015-5477 افشا شده است. [RT # 40046]
در سرورهای پیکربندی شده برای انجام اعتبار سنجی DNSSEC، یک خطای ادعایی می تواند بر روی پاسخ های یک سرور خاص پیکربندی شود. این نقص توسط Breno Silveira Soares کشف شده است و در CVE-2015-4620 افشا شده است. [RT # 39795]
ویژگی های جدید:معیارهای جدید برای محدود کردن نمایش داده شده توسط فرستنده های حل کننده بازگشتی به سرورهای معتبر که تجربه حملات انکار سرویس را دارند محدود شده است. هنگام پیکربندی، این گزینه ها می توانند هر دو آسیب به سرورهای معتبر را کاهش دهند و از خستگی منابع نیز جلوگیری کنند، که می تواند با استفاده از بازگشتی ها مورد استفاده قرار گیرد، زمانی که آنها به عنوان وسیله نقلیه برای چنین حمله ای مورد استفاده قرار می گیرند. توجه: این گزینه ها به طور پیش فرض در دسترس نیست استفاده از configure -enable-fetchlimit را برای ترکیب آنها در ساخت استفاده کنید. + fetches-per-server تعداد نمایشهای همزمان را که می توان به هر سرور معتبر ارسال کرد محدود می کند. مقدار پیکربندی یک نقطه شروع است؛ اگر سرور به طور جزئی یا کاملا غیرقابل پاسخگو باشد، به صورت خودکار به سمت پایین حرکت می کند. الگوریتم مورد استفاده برای تنظیم سهمیه را می توان از طریق گزینه fetch-quota-params پیکربندی کرد. + fetches per-zone تعداد نمایشهای همزمان را که می توان برای نام درون یک دامنه واحد ارسال کرد محدود می کند. (توجه: بر خلاف "fetches-per-server"، این مقدار خود تنظیم نیست.) شمارنده های آمار همچنین برای ردیابی تعداد پرس و جو تحت تاثیر این سهم اضافه شده است.
dig + ednsflags اکنون می توانید برای تنظیم پرچم های EDNS تعریف شده در برنامه های DNS استفاده کنید.حفاری + [no] ednsneagreement می تواند در حال حاضر استفاده می شود فعال / غیر فعال کردن مذاکرات نسخه EDNS.
اکنون گزینه پیکربندی -nable-querytrace برای فعال کردن تراکنش بسیار پرسوجوی فعال است. این گزینه فقط می تواند در زمان کامپایل تنظیم شود. این گزینه تأثیر منفی دارد و باید فقط برای اشکالزدایی استفاده شود.
تغییرات ویژگی:
تغییرات در بزرگنمایی درون خطی بایستی مخربتر باشد. ایجاد امضا در حال حاضر به صورت مرحله ای انجام می شود؛ تعداد امضاها که در هر کوانتوم تولید می شود، توسط شماره ثبت امضاء SIG کنترل می شود. [RT # 37927]
افزونه آزمایشی SIT اکنون از کد نقطه EDNS COOKIE (10) استفاده می کند و به عنوان "COOKIE:" نمایش داده می شود. دستورالعملهای نامیده شده .conf؛ "request-sit"، "sit-secret" و "nosit-udp-size" هنوز معتبر هستند و در BIND 9.11 با "send-cookie"، "cookie-secret" و "nocookie-udp-size" جایگزین خواهند شد. . دستورالعمل موجود در باره "+ نشست" هنوز معتبر است و در BIND 9.11 با "+ کوکی" جایگزین خواهد شد.
در هنگام درخواست مجدد از طريق TCP به علت پاسخ دهي اوليه، تکرار مي شود، اکنون حفره به درستي مقدار COOKIE را که توسط سرور در پاسخ قبلی ارسال شده است ارسال مي کند. [RT # 39047]در حال بارگیری دامنه محدوده بندر محلی از net.ipv4.ip_local_port_range در لینوکس در حال حاضر پشتیبانی می شود.
نام های فعال دایرکتوری فرم gc._msdcs. در حال حاضر با استفاده از گزینه check-names، بعنوان نام میزبان معتبر پذیرفته می شوند. هنوز به حروف، ارقام و خطوط محدود شده است.
نام های حاوی متن غنی در حال حاضر به عنوان نام های میزبان معتبر در پرونده های PTR در مناطق جستجوی معکوس DNS-SD پذیرفته شده است، همانطور که در RFC 6763 مشخص شده است. [RT # 37889]
رفع اشکال:
هنگامی که بار منطقه در حال حاضر در حال انجام است، بارهای منطقه به طور صحیح مورد استفاده قرار نمی گیرد؛ این می تواند سقوط در zt.c. [RT # 37573]
یک مسابقه در خلال خاتمه یا تنظیم مجدد می تواند باعث عدم تایید در mem.c. [RT # 38979]
برخی از گزینه های قالب بندی پاسخ با dig + کوتاه کار درستی نکردند. [RT # 39291]
سوابق ناقص برخی از انواع، از جمله NSAP و UNSPEC، می تواند شکست های ادعا هنگام بارگذاری فایل های منطقه متن را باعث می شود. [RT # 40274] [RT # 40285]
تصادف احتمالی در ratelimiter.c ثابت شده توسط پیام های NOTIFY که از خط محدود کننده نرخ اشتباه حذف شده اند. [RT # 40350]
دستور rsset به طور تصادفی به صورت تصادفی اجرا شد. [RT # 40456]بازخوانی بازخورد از سرورهای نامگذاری شده نامناسب به درستی انجام نشده است. [RT # 40427]چندین اشکال در پیاده سازی RPZ ثابت شده اند: + مناطق خط مشی که به طور خاص نیازی به بازگشت ندارند، می توانند مانند آن عمل شوند؛ در نتیجه، تنظیم qname-wait-recurse no؛ گاهی بی اثر بود. این اصلاح شده است. در بیشتر تنظیمات، تغییرات رفتاری ناشی از این اصلاح قابل مشاهده نخواهد بود. [RT # 39229] + سرور می تواند در صورتی که مناطق خطمشی به روزرسانی شد (مثلا از طریق بارگیری مجدد Rndc یا انتقال منطقه ای) به روزرسانی شود، در حالی که پردازش RPZ برای یک پرس و جو فعال انجام می شود. [RT # 39415] + در سرورهایی با یک یا چند منطقه خط مشی که به عنوان بردگان پیکربندی شده است، اگر یک منطقه خط مشی در طول عملیات منظم (به جای راه اندازی) به روز شده با استفاده از یک مجدد کامل منطقه، از قبیل از طریق AXFR، یک اشکال بتواند خلاصه RPZ داده ها برای خارج شدن از همگام سازی، به طور بالقوه منجر به نارضایتی ادعایی در rpz.c زمانی که بیشتر به روز رسانی افزایشی به منطقه، از جمله از طریق IXFR ساخته شده است. [RT # 39567] + سرور می تواند پیشوند کوتاهتری را نسبت به آنچه که در سیاست های CLIENT-IP در دسترس بود مطابقت دهد و بنابراین یک اقدام غیرمنتظره می تواند انجام شود. این اصلاح شده است. [RT # 39481] + اگر یک بار مجدد از منطقه RPZ آغاز شد در حالی که بارگیری مجدد دیگری از همان منطقه در حال اجرا بود، سرور می تواند سقوط کند.
[RT # 39649] + نامهای پرس و جو می توانند با منطق خطای اشتباه مطابقت داشته باشند اگر سوابق متفاوتی وجود داشته باشد. [RT # 40357]
چه جدید در نسخه 9.10.4-P3 جدید است:
رفع امنیت:یک مرجع نادرست مرزی در OPENPGPKEY rdatatype می تواند یک شکست ادعا را ایجاد کند. این نقص در CVE-2015-5986 افشا شده است. [RT # 40286]
یک خطای حسابداری بافر می تواند در هنگام تجزیه برخی از کلید های DNSSEC ناقص شکلدهی، خطای ادعایی ایجاد کند. این نقص توسط Hanno Bock از پروژه Fuzzing کشف شد و در CVE-2015-5722 افشا شده است. [RT # 40212]
یک پرس و جو به طور خاص ساخته شده می تواند یک شکست ادعایی در message.c ایجاد کند. این نقص توسط Jonathan Foote کشف شد و در CVE-2015-5477 افشا شده است. [RT # 40046]
در سرورهای پیکربندی شده برای انجام اعتبار سنجی DNSSEC، یک خطای ادعایی می تواند بر روی پاسخ های یک سرور خاص پیکربندی شود. این نقص توسط Breno Silveira Soares کشف شده است و در CVE-2015-4620 افشا شده است. [RT # 39795]
ویژگی های جدید:معیارهای جدید برای محدود کردن نمایش داده شده توسط فرستنده های حل کننده بازگشتی به سرورهای معتبر که تجربه حملات انکار سرویس را دارند محدود شده است. هنگام پیکربندی، این گزینه ها می توانند هر دو آسیب به سرورهای معتبر را کاهش دهند و از خستگی منابع نیز جلوگیری کنند، که می تواند با استفاده از بازگشتی ها مورد استفاده قرار گیرد، زمانی که آنها به عنوان وسیله نقلیه برای چنین حمله ای مورد استفاده قرار می گیرند. توجه: این گزینه ها به طور پیش فرض در دسترس نیست استفاده از configure -enable-fetchlimit را برای ترکیب آنها در ساخت استفاده کنید. + fetches-per-server تعداد نمایشهای همزمان را که می توان به هر سرور معتبر ارسال کرد محدود می کند. مقدار پیکربندی یک نقطه شروع است؛ اگر سرور به طور جزئی یا کاملا غیرقابل پاسخگو باشد، به صورت خودکار به سمت پایین حرکت می کند. الگوریتم مورد استفاده برای تنظیم سهمیه را می توان از طریق گزینه fetch-quota-params پیکربندی کرد. + fetches per-zone تعداد نمایشهای همزمان را که می توان برای نام درون یک دامنه واحد ارسال کرد محدود می کند. (توجه: بر خلاف "fetches-per-server"، این مقدار خود تنظیم نیست.) شمارنده های آمار همچنین برای ردیابی تعداد پرس و جو تحت تاثیر این سهم اضافه شده است.
dig + ednsflags اکنون می توانید برای تنظیم پرچم های EDNS تعریف شده در برنامه های DNS استفاده کنید.حفاری + [no] ednsneagreement می تواند در حال حاضر استفاده می شود فعال / غیر فعال کردن مذاکرات نسخه EDNS.
اکنون گزینه پیکربندی -nable-querytrace برای فعال کردن تراکنش بسیار پرسوجوی فعال است. این گزینه فقط می تواند در زمان کامپایل تنظیم شود. این گزینه تأثیر منفی دارد و باید فقط برای اشکالزدایی استفاده شود.
تغییرات ویژگی:
تغییرات در بزرگنمایی درون خطی بایستی مخربتر باشد. ایجاد امضا در حال حاضر به صورت مرحله ای انجام می شود؛ تعداد امضاها که در هر کوانتوم تولید می شود، توسط شماره ثبت امضاء SIG کنترل می شود. [RT # 37927]
افزونه آزمایشی SIT اکنون از کد نقطه EDNS COOKIE (10) استفاده می کند و به عنوان "COOKIE:" نمایش داده می شود. دستورالعملهای نامیده شده .conf؛ "request-sit"، "sit-secret" و "nosit-udp-size" هنوز معتبر هستند و در BIND 9.11 با "send-cookie"، "cookie-secret" و "nocookie-udp-size" جایگزین خواهند شد. . دستورالعمل موجود در باره "+ نشست" هنوز معتبر است و در BIND 9.11 با "+ کوکی" جایگزین خواهد شد.
در هنگام درخواست مجدد از طريق TCP به علت پاسخ دهي اوليه، تکرار مي شود، اکنون حفره به درستي مقدار COOKIE را که توسط سرور در پاسخ قبلی ارسال شده است ارسال مي کند. [RT # 39047]در حال بارگیری دامنه محدوده بندر محلی از net.ipv4.ip_local_port_range در لینوکس در حال حاضر پشتیبانی می شود.
نام های فعال دایرکتوری فرم gc._msdcs. در حال حاضر با استفاده از گزینه check-names، بعنوان نام میزبان معتبر پذیرفته می شوند. هنوز به حروف، ارقام و خطوط محدود شده است.
نام های حاوی متن غنی در حال حاضر به عنوان نام های میزبان معتبر در پرونده های PTR در مناطق جستجوی معکوس DNS-SD پذیرفته شده است، همانطور که در RFC 6763 مشخص شده است. [RT # 37889]
رفع اشکال:
هنگامی که بار منطقه در حال حاضر در حال انجام است، بارهای منطقه به طور صحیح مورد استفاده قرار نمی گیرد؛ این می تواند سقوط در zt.c. [RT # 37573]
یک مسابقه در خلال خاتمه یا تنظیم مجدد می تواند باعث عدم تایید در mem.c. [RT # 38979]
برخی از گزینه های قالب بندی پاسخ با dig + کوتاه کار درستی نکردند. [RT # 39291]
سوابق ناقص برخی از انواع، از جمله NSAP و UNSPEC، می تواند شکست های ادعا هنگام بارگذاری فایل های منطقه متن را باعث می شود. [RT # 40274] [RT # 40285]
تصادف احتمالی در ratelimiter.c ثابت شده توسط پیام های NOTIFY که از خط محدود کننده نرخ اشتباه حذف شده اند. [RT # 40350]
دستور rsset به طور تصادفی به صورت تصادفی اجرا شد. [RT # 40456]بازخوانی بازخورد از سرورهای نامگذاری شده نامناسب به درستی انجام نشده است. [RT # 40427]چندین اشکال در پیاده سازی RPZ ثابت شده اند: + مناطق خط مشی که به طور خاص نیازی به بازگشت ندارند، می توانند مانند آن عمل شوند؛ در نتیجه، تنظیم qname-wait-recurse no؛ گاهی بی اثر بود. این اصلاح شده است. در بیشتر تنظیمات، تغییرات رفتاری ناشی از این اصلاح قابل مشاهده نخواهد بود. [RT # 39229] + سرور می تواند در صورتی که مناطق خطمشی به روزرسانی شد (مثلا از طریق بارگیری مجدد Rndc یا انتقال منطقه ای) به روزرسانی شود، در حالی که پردازش RPZ برای یک پرس و جو فعال انجام می شود. [RT # 39415] + در سرورهایی با یک یا چند منطقه خط مشی که به عنوان بردگان پیکربندی شده است، اگر یک منطقه خط مشی در طول عملیات منظم (به جای راه اندازی) به روز شده با استفاده از یک مجدد کامل منطقه، از قبیل از طریق AXFR، یک اشکال بتواند خلاصه RPZ داده ها برای خارج شدن از همگام سازی، به طور بالقوه منجر به نارضایتی ادعایی در rpz.c زمانی که بیشتر به روز رسانی افزایشی به منطقه، از جمله از طریق IXFR ساخته شده است. [RT # 39567] + سرور می تواند پیشوند کوتاهتری را نسبت به آنچه که در سیاست های CLIENT-IP در دسترس بود مطابقت دهد و بنابراین یک اقدام غیرمنتظره می تواند انجام شود. این اصلاح شده است. [RT # 39481] + اگر یک بار مجدد از منطقه RPZ آغاز شد در حالی که بارگیری مجدد دیگری از همان منطقه در حال اجرا بود، سرور می تواند سقوط کند.[RT # 39649] + نامهای درخواستی ممکن است با منطق خطای اشتباه مطابقت داشته باشند اگر پروندههای متفاوتی وجود داشته باشد. [RT # 40357]
نظر یافت نشد