BIND

BIND (Berkeley Internet Name Domain) est un logiciel UNIX en ligne de commande qui distribue une implémentation open source des protocoles DNS (Domain Name System). Il est composé d'une bibliothèque de résolveurs, d'un serveur / démon appelé `named ', ainsi que d'outils logiciels pour tester et vérifier le bon fonctionnement des serveurs DNS.

A l'origine écrit à l'Université de Californie à Berkeley, BIND a été souscrit par de nombreuses organisations, dont Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, US Defense Information Systems Agency, USENIX Association, Process Software Corporation, Nominum, et Stichting NLNet & ndash; Fondation NLNet.

Comme mentionné, BIND comprend un serveur de système de nom de domaine, une bibliothèque de résolution de système de noms de domaine et des outils logiciels pour tester les serveurs. Alors que la mise en œuvre du serveur DNS est chargée de répondre à toutes les questions reçues en utilisant les règles énoncées dans les normes officielles du protocole DNS, la bibliothèque de résolution DNS résout des questions sur les noms de domaine.

Systèmes d'exploitation pris en charge

BIND a été spécialement conçu pour la plate-forme GNU / Linux et devrait fonctionner avec n'importe quelle distribution de Linux, y compris Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, openSUSE, Mageia, et plein d'autres. Il prend en charge les architectures d'ensemble d'instructions 32 bits et 64 bits.

Le projet est distribué sous la forme d'une archive unique contenant le code source de BIND, permettant aux utilisateurs d'optimiser le logiciel de leur plate-forme matérielle et de leur système d'exploitation (voir ci-dessus pour les OS et architectures supportés). p

Quoi de neuf dans cette version:

• Une erreur de codage dans la fonctionnalité redirection nxdomain peut entraîner un échec d'assertion si l'espace de noms de redirection a été servi à partir d'une source de données locale, telle qu'une zone locale ou un DLZ plutôt qu'une recherche récursive. Ce défaut est décrit dans CVE-2016-9778. [RT # 43837]
• Nommé pourrait mal gérer les sections d'autorité qui manquaient RRSIGs déclenchant un échec d'assertion. Ce défaut est décrit dans CVE-2016-9444. [RT # 43632]
• Nommé mal géré certaines réponses où les enregistrements RRSIG de couverture sont renvoyés sans les données demandées résultant en un échec d'assertion. Cette faille est décrite dans CVE-2016-9147. [RT # 43548]
• Nommé de manière incorrecte a tenté de mettre en cache les enregistrements TKEY qui pouvaient déclencher un échec d'assertion en cas d'incompatibilité de classe. Cette faille est décrite dans CVE-2016-9131. [RT # 43522]
• Il était possible de déclencher des assertions lors du traitement d'une réponse. Ce défaut est décrit dans CVE-2016-8864. [RT # 43465]

Nouveautés dans la version 9.11.2:

• Une erreur de codage dans la fonctionnalité redirection nxdomain peut entraîner un échec d'assertion si l'espace de noms de redirection a été servi à partir d'une source de données locale, telle qu'une zone locale ou un DLZ plutôt qu'une recherche récursive. Ce défaut est décrit dans CVE-2016-9778. [RT # 43837]
• Nommé pourrait mal gérer les sections d'autorité qui manquaient RRSIGs déclenchant un échec d'assertion. Ce défaut est décrit dans CVE-2016-9444. [RT # 43632]
• Nommé mal géré certaines réponses où les enregistrements RRSIG de couverture sont renvoyés sans les données demandées résultant en un échec d'assertion. Cette faille est décrite dans CVE-2016-9147. [RT # 43548]
• Nommé de manière incorrecte a tenté de mettre en cache les enregistrements TKEY qui pouvaient déclencher un échec d'assertion en cas d'incompatibilité de classe. Cette faille est décrite dans CVE-2016-9131. [RT # 43522]
• Il était possible de déclencher des assertions lors du traitement d'une réponse. Ce défaut est décrit dans CVE-2016-8864. [RT # 43465]

Nouveautés dans la version 9.11.1-P3:

• Une erreur de codage dans la fonctionnalité redirection nxdomain peut entraîner un échec d'assertion si l'espace de noms de redirection a été servi à partir d'une source de données locale, telle qu'une zone locale ou un DLZ plutôt qu'une recherche récursive. Ce défaut est décrit dans CVE-2016-9778. [RT # 43837]
• Nommé pourrait mal gérer les sections d'autorité qui manquaient RRSIGs déclenchant un échec d'assertion. Ce défaut est décrit dans CVE-2016-9444. [RT # 43632]
• Nommé mal géré certaines réponses où les enregistrements RRSIG de couverture sont renvoyés sans les données demandées résultant en un échec d'assertion. Cette faille est décrite dans CVE-2016-9147. [RT # 43548]
• Nommé de manière incorrecte a tenté de mettre en cache les enregistrements TKEY qui pouvaient déclencher un échec d'assertion en cas d'incompatibilité de classe. Cette faille est décrite dans CVE-2016-9131. [RT # 43522]
• Il était possible de déclencher des assertions lors du traitement d'une réponse. Ce défaut est décrit dans CVE-2016-8864. [RT # 43465]

Nouveautés dans la version 9.11.1-P1:

• Une erreur de codage dans la fonctionnalité redirection nxdomain peut entraîner un échec d'assertion si l'espace de noms de redirection a été servi à partir d'une source de données locale, telle qu'une zone locale ou un DLZ plutôt qu'une recherche récursive. Ce défaut est décrit dans CVE-2016-9778. [RT # 43837]
• Nommé pourrait mal gérer les sections d'autorité qui manquaient RRSIGs déclenchant un échec d'assertion. Ce défaut est décrit dans CVE-2016-9444. [RT # 43632]
• Nommé mal géré certaines réponses où les enregistrements RRSIG de couverture sont renvoyés sans les données demandées résultant en un échec d'assertion. Cette faille est décrite dans CVE-2016-9147. [RT # 43548]
• Nommé de manière incorrecte a tenté de mettre en cache les enregistrements TKEY qui pouvaient déclencher un échec d'assertion en cas d'incompatibilité de classe. Cette faille est décrite dans CVE-2016-9131. [RT # 43522]
• Il était possible de déclencher des assertions lors du traitement d'une réponse. Ce défaut est décrit dans CVE-2016-8864. [RT # 43465]

Nouveautés dans la version 9.11.1:

• Une erreur de codage dans la fonctionnalité redirection nxdomain peut entraîner un échec d'assertion si l'espace de noms de redirection a été servi à partir d'une source de données locale, telle qu'une zone locale ou un DLZ plutôt qu'une recherche récursive. Ce défaut est décrit dans CVE-2016-9778. [RT # 43837]
• Nommé pourrait mal gérer les sections d'autorité qui manquaient RRSIGs déclenchant un échec d'assertion. Ce défaut est décrit dans CVE-2016-9444. [RT # 43632]
• Nommé mal géré certaines réponses où les enregistrements RRSIG de couverture sont renvoyés sans les données demandées résultant en un échec d'assertion. Cette faille est décrite dans CVE-2016-9147. [RT # 43548]
• Nommé de manière incorrecte a tenté de mettre en cache les enregistrements TKEY qui pouvaient déclencher un échec d'assertion en cas d'incompatibilité de classe. Cette faille est décrite dans CVE-2016-9131. [RT # 43522]
• Il était possible de déclencher des assertions lors du traitement d'une réponse. Ce défaut est décrit dans CVE-2016-8864. [RT # 43465]

Nouveautés dans la version 9.11.0-P2:

• Une erreur de codage dans la fonctionnalité redirection nxdomain peut entraîner un échec d'assertion si l'espace de noms de redirection a été fourni à partir d'une source de données locale autorisée telle qu'une zone locale ou un DLZ plutôt qu'une recherche récursive. Ce défaut est décrit dans CVE-2016-9778. [RT # 43837]
• Nommé pourrait mal gérer les sections d'autorité qui manquaient RRSIGs déclenchant un échec d'assertion. Ce défaut est décrit dans CVE-2016-9444. [RT # 43632]
• Nommé mal géré certaines réponses où les enregistrements RRSIG de couverture sont renvoyés sans les données demandées résultant en un échec d'assertion. Cette faille est décrite dans CVE-2016-9147. [RT # 43548]
• Nommé de manière incorrecte a tenté de mettre en cache les enregistrements TKEY qui pouvaient déclencher un échec d'assertion en cas d'incompatibilité de classe. Cette faille est décrite dans CVE-2016-9131. [RT # 43522]
• Il était possible de déclencher des assertions lors du traitement d'une réponse. Ce défaut est décrit dans CVE-2016-8864. [RT # 43465]

Nouveautés dans la version 9.11.0-P1:

• Correctifs de sécurité:
• Une vérification de limite incorrecte dans le type rdatatype OPENPGPKEY peut déclencher un échec d'assertion. Ce défaut est décrit dans CVE-2015-5986. [RT # 40286]
• Une erreur de comptabilisation de tampon peut déclencher un échec d'assertion lors de l'analyse de certaines clés DNSSEC malformées. Cette faille a été découverte par Hanno Bock du projet Fuzzing et est divulguée dans CVE-2015-5722. [RT # 40212]
• Une requête spécialement conçue peut déclencher un échec d'assertion dans message.c. Cette faille a été découverte par Jonathan Foote et est divulguée dans CVE-2015-5477. [RT # 40046]
• Sur les serveurs configurés pour effectuer la validation DNSSEC, un échec d'assertion peut être déclenché sur les réponses d'un serveur spécialement configuré. Cette faille a été découverte par Breno Silveira Soares et est divulguée dans CVE-2015-4620. [RT # 39795]
• Nouvelles fonctionnalités:
• De nouveaux quotas ont été ajoutés pour limiter les requêtes envoyées par des résolveurs récursifs à des serveurs faisant autorité et subissant des attaques par déni de service. Lorsqu'elles sont configurées, ces options peuvent à la fois réduire les dommages causés aux serveurs faisant autorité et éviter l'épuisement des ressources que peuvent subir les récursifs lorsqu'ils sont utilisés comme véhicule pour une telle attaque. REMARQUE: ces options ne sont pas disponibles par défaut. utilisez configure --enable-fetchlimit pour les inclure dans la construction. + fetchs-per-server limite le nombre de requêtes simultanées pouvant être envoyées à un seul serveur faisant autorité. La valeur configurée est un point de départ; il est automatiquement ajusté à la baisse si le serveur est partiellement ou totalement non-réactif. L'algorithme utilisé pour ajuster le quota peut être configuré via l'option fetch-quota-params. + fetchs-per-zone limite le nombre de requêtes simultanées pouvant être envoyées pour des noms dans un seul domaine. (Remarque: Contrairement à "fetchs-per-server", cette valeur n'est pas auto-ajustée.) Des compteurs de statistiques ont également été ajoutés pour suivre le nombre de requêtes affectées par ces quotas.
• dig + ednsflags peut maintenant être utilisé pour définir des drapeaux EDNS encore à définir dans les requêtes DNS.
• dig + [no] ednsnegotiation peut maintenant être utilisé pour activer / désactiver la négociation de version EDNS.
• Un commutateur de configuration --enable-querytrace est maintenant disponible pour activer le tracelogging de requête très verbeux. Cette option ne peut être définie qu'à la compilation. Cette option a un impact négatif sur les performances et ne doit être utilisée que pour le débogage.
• Changements de fonctionnalité:
• Les grands changements de signature en ligne devraient être moins perturbants. La génération de signature est maintenant faite de manière incrémentale; le nombre de signatures à générer dans chaque quantum est contrôlé par "sig-signature-number number;". [RT # 37927]
• L'extension SIT expérimentale utilise maintenant le point de code d'option EDNS COOKIE (10) et est affichée comme "COOKIE:". Les directives named.conf existantes; "request-sit", "sit-secret" et "nosit-udp-size", sont toujours valides et seront remplacés par "send-cookie", "cookie-secret" et "nocookie-udp-size" dans BIND 9.11 . La directive dig "+ sit" est toujours valide et sera remplacée par "+ cookie" dans BIND 9.11.
• Lorsque vous réessayez une requête via TCP en raison de la troncature de la première réponse, dig envoie maintenant correctement la valeur COOKIE renvoyée par le serveur dans la réponse précédente. [RT # 39047]
• La récupération de la plage de ports locale depuis net.ipv4.ip_local_port_range sous Linux est désormais prise en charge.
• Noms Active Directory du formulaire gc._msdcs. sont maintenant acceptés comme noms d'hôtes valides lors de l'utilisation de l'option check-names. est toujours limité aux lettres, chiffres et tirets.
• Les noms contenant du texte enrichi sont maintenant acceptés comme noms d'hôte valides dans les enregistrements PTR dans les zones de recherche inversée DNS-SD, comme spécifié dans la RFC 6763. [RT # 37889]
• Corrections de bugs:
• Les charges de zone asynchrones n'étaient pas gérées correctement lorsque la charge de zone était déjà en cours. Cela pourrait déclencher un crash dans zt.c. [RT # 37573]
• Une course lors de l'arrêt ou de la reconfiguration peut provoquer un échec d'assertion dans mem.c. [RT # 38979]
• Certaines options de formatage des réponses ne fonctionnaient pas correctement avec dig + short. [RT # 39291]
• Des enregistrements malformés de certains types, y compris NSAP et UNSPEC, peuvent déclencher des échecs d'assertion lors du chargement de fichiers de zone de texte. [TA n ° 40274] [RT # 40285]
• Correction d'un plantage possible dans ratelimiter.c provoqué par la suppression des messages NOTIFY dans la mauvaise file d'attente du limiteur de débit. [RT # 40350]
• L'ordre rrset par défaut de random était appliqué de manière incohérente. [RT # 40456]
• Les réponses BADVERS des serveurs de noms d'autorité endommagés n'ont pas été gérées correctement. [RT # 40427]
• Plusieurs bogues ont été corrigés dans l'implémentation RPZ: + Les zones de règles qui ne nécessitaient pas spécifiquement de récursivité pourraient être traitées comme si elles l'étaient; par conséquent, en définissant qname-wait-recurse no; était parfois inefficace. Cela a été corrigé. Dans la plupart des configurations, les changements de comportement dus à ce correctif ne seront pas visibles. [RT # 39229] + Le serveur pourrait tomber en panne si les zones de politique étaient mises à jour (par exemple via le rechargement rndc ou un transfert de zone entrant) alors que le traitement RPZ était toujours en cours pour une requête active. [RT # 39415] + Sur les serveurs avec une ou plusieurs zones de stratégie configurées comme esclaves, si une zone de stratégie est mise à jour pendant le fonctionnement normal (plutôt qu'au démarrage) en utilisant un rechargement de zone complet, comme via AXFR, un bug pourrait permettre le résumé RPZ les données ne sont plus synchronisées, ce qui peut entraîner un échec d'assertion dans rpz.c lorsque d'autres mises à jour incrémentielles ont été effectuées dans la zone, par exemple via IXFR. [RT # 39567] + Le serveur pouvait correspondre à un préfixe plus court que ce qui était disponible dans les déclencheurs de politique CLIENT-IP, et ainsi, une action inattendue pouvait être entreprise. Cela a été corrigé. [RT # 39481] + Le serveur pourrait tomber en panne si un rechargement d'une zone RPZ était initié alors qu'un autre rechargement de la même zone était déjà en cours.

  [RT # 39649] + Les noms de requête peuvent correspondre à la mauvaise zone de stratégie si des enregistrements génériques étaient présents. [RT # 40357]

Nouveautés dans la version 9.11.0:

• Correctifs de sécurité:
• Une vérification de limite incorrecte dans le type rdatatype OPENPGPKEY peut déclencher un échec d'assertion. Ce défaut est décrit dans CVE-2015-5986. [RT # 40286]
• Une erreur de comptabilisation de tampon peut déclencher un échec d'assertion lors de l'analyse de certaines clés DNSSEC malformées. Cette faille a été découverte par Hanno Bock du projet Fuzzing et est divulguée dans CVE-2015-5722. [RT # 40212]
• Une requête spécialement conçue peut déclencher un échec d'assertion dans message.c. Cette faille a été découverte par Jonathan Foote et est divulguée dans CVE-2015-5477. [RT # 40046]
• Sur les serveurs configurés pour effectuer la validation DNSSEC, un échec d'assertion peut être déclenché sur les réponses d'un serveur spécialement configuré. Cette faille a été découverte par Breno Silveira Soares et est divulguée dans CVE-2015-4620. [RT # 39795]
• Nouvelles fonctionnalités:
• De nouveaux quotas ont été ajoutés pour limiter les requêtes envoyées par des résolveurs récursifs à des serveurs faisant autorité et subissant des attaques par déni de service. Lorsqu'elles sont configurées, ces options peuvent à la fois réduire les dommages causés aux serveurs faisant autorité et éviter l'épuisement des ressources que peuvent subir les récursifs lorsqu'ils sont utilisés comme véhicule pour une telle attaque. REMARQUE: ces options ne sont pas disponibles par défaut. utilisez configure --enable-fetchlimit pour les inclure dans la construction. + fetchs-per-server limite le nombre de requêtes simultanées pouvant être envoyées à un seul serveur faisant autorité. La valeur configurée est un point de départ; il est automatiquement ajusté à la baisse si le serveur est partiellement ou totalement non-réactif. L'algorithme utilisé pour ajuster le quota peut être configuré via l'option fetch-quota-params. + fetchs-per-zone limite le nombre de requêtes simultanées pouvant être envoyées pour des noms dans un seul domaine. (Remarque: Contrairement à "fetchs-per-server", cette valeur n'est pas auto-ajustée.) Des compteurs de statistiques ont également été ajoutés pour suivre le nombre de requêtes affectées par ces quotas.
• dig + ednsflags peut maintenant être utilisé pour définir des drapeaux EDNS encore à définir dans les requêtes DNS.
• dig + [no] ednsnegotiation peut maintenant être utilisé pour activer / désactiver la négociation de version EDNS.
• Un commutateur de configuration --enable-querytrace est maintenant disponible pour activer le tracelogging de requête très verbeux. Cette option ne peut être définie qu'à la compilation. Cette option a un impact négatif sur les performances et ne doit être utilisée que pour le débogage.
• Changements de fonctionnalité:
• Les grands changements de signature en ligne devraient être moins perturbants. La génération de signature est maintenant faite de manière incrémentale; le nombre de signatures à générer dans chaque quantum est contrôlé par "sig-signature-number number;". [RT # 37927]
• L'extension SIT expérimentale utilise maintenant le point de code d'option EDNS COOKIE (10) et est affichée comme "COOKIE:". Les directives named.conf existantes; "request-sit", "sit-secret" et "nosit-udp-size", sont toujours valides et seront remplacés par "send-cookie", "cookie-secret" et "nocookie-udp-size" dans BIND 9.11 . La directive dig "+ sit" est toujours valide et sera remplacée par "+ cookie" dans BIND 9.11.
• Lorsque vous réessayez une requête via TCP en raison de la troncature de la première réponse, dig envoie maintenant correctement la valeur COOKIE renvoyée par le serveur dans la réponse précédente. [RT # 39047]
• La récupération de la plage de ports locale depuis net.ipv4.ip_local_port_range sous Linux est désormais prise en charge.
• Noms Active Directory du formulaire gc._msdcs. sont maintenant acceptés comme noms d'hôtes valides lors de l'utilisation de l'option check-names. est toujours limité aux lettres, chiffres et tirets.
• Les noms contenant du texte enrichi sont maintenant acceptés comme noms d'hôte valides dans les enregistrements PTR dans les zones de recherche inversée DNS-SD, comme spécifié dans la RFC 6763. [RT # 37889]
• Corrections de bugs:
• Les charges de zone asynchrones n'étaient pas gérées correctement lorsque la charge de zone était déjà en cours. Cela pourrait déclencher un crash dans zt.c. [RT # 37573]
• Une course lors de l'arrêt ou de la reconfiguration peut provoquer un échec d'assertion dans mem.c. [RT # 38979]
• Certaines options de formatage des réponses ne fonctionnaient pas correctement avec dig + short. [RT # 39291]
• Des enregistrements malformés de certains types, y compris NSAP et UNSPEC, peuvent déclencher des échecs d'assertion lors du chargement de fichiers de zone de texte. [TA n ° 40274] [RT # 40285]
• Correction d'un plantage possible dans ratelimiter.c provoqué par la suppression des messages NOTIFY dans la mauvaise file d'attente du limiteur de débit. [RT # 40350]
• L'ordre rrset par défaut de random était appliqué de manière incohérente. [RT # 40456]
• Les réponses BADVERS des serveurs de noms d'autorité endommagés n'ont pas été gérées correctement. [RT # 40427]
• Plusieurs bogues ont été corrigés dans l'implémentation RPZ: + Les zones de règles qui ne nécessitaient pas spécifiquement de récursivité pourraient être traitées comme si elles l'étaient; par conséquent, en définissant qname-wait-recurse no; était parfois inefficace. Cela a été corrigé. Dans la plupart des configurations, les changements de comportement dus à ce correctif ne seront pas visibles. [RT # 39229] + Le serveur pourrait tomber en panne si les zones de politique étaient mises à jour (par exemple via le rechargement rndc ou un transfert de zone entrant) alors que le traitement RPZ était toujours en cours pour une requête active. [RT # 39415] + Sur les serveurs avec une ou plusieurs zones de stratégie configurées comme esclaves, si une zone de stratégie est mise à jour pendant le fonctionnement normal (plutôt qu'au démarrage) en utilisant un rechargement de zone complet, comme via AXFR, un bug pourrait permettre le résumé RPZ les données ne sont plus synchronisées, ce qui peut entraîner un échec d'assertion dans rpz.c lorsque d'autres mises à jour incrémentielles ont été effectuées dans la zone, par exemple via IXFR. [RT # 39567] + Le serveur pouvait correspondre à un préfixe plus court que ce qui était disponible dans les déclencheurs de politique CLIENT-IP, et ainsi, une action inattendue pouvait être entreprise. Cela a été corrigé. [RT # 39481] + Le serveur pourrait tomber en panne si un rechargement d'une zone RPZ était initié alors qu'un autre rechargement de la même zone était déjà en cours.

  [RT # 39649] + Les noms de requête peuvent correspondre à la mauvaise zone de stratégie si des enregistrements génériques étaient présents. [RT # 40357]

Nouveautés dans la version 9.10.4-P3:

• Correctifs de sécurité:
• Une vérification de limite incorrecte dans le type rdatatype OPENPGPKEY peut déclencher un échec d'assertion. Ce défaut est décrit dans CVE-2015-5986. [RT # 40286]
• Une erreur de comptabilisation de tampon peut déclencher un échec d'assertion lors de l'analyse de certaines clés DNSSEC malformées. Cette faille a été découverte par Hanno Bock du projet Fuzzing et est divulguée dans CVE-2015-5722. [RT # 40212]
• Une requête spécialement conçue peut déclencher un échec d'assertion dans message.c. Cette faille a été découverte par Jonathan Foote et est divulguée dans CVE-2015-5477. [RT # 40046]
• Sur les serveurs configurés pour effectuer la validation DNSSEC, un échec d'assertion peut être déclenché sur les réponses d'un serveur spécialement configuré. Cette faille a été découverte par Breno Silveira Soares et est divulguée dans CVE-2015-4620. [RT # 39795]
• Nouvelles fonctionnalités:
• De nouveaux quotas ont été ajoutés pour limiter les requêtes envoyées par des résolveurs récursifs à des serveurs faisant autorité et subissant des attaques par déni de service. Lorsqu'elles sont configurées, ces options peuvent à la fois réduire les dommages causés aux serveurs faisant autorité et éviter l'épuisement des ressources que peuvent subir les récursifs lorsqu'ils sont utilisés comme véhicule pour une telle attaque. REMARQUE: ces options ne sont pas disponibles par défaut. utilisez configure --enable-fetchlimit pour les inclure dans la construction. + fetchs-per-server limite le nombre de requêtes simultanées pouvant être envoyées à un seul serveur faisant autorité. La valeur configurée est un point de départ; il est automatiquement ajusté à la baisse si le serveur est partiellement ou totalement non-réactif. L'algorithme utilisé pour ajuster le quota peut être configuré via l'option fetch-quota-params. + fetchs-per-zone limite le nombre de requêtes simultanées pouvant être envoyées pour des noms dans un seul domaine. (Remarque: Contrairement à "fetchs-per-server", cette valeur n'est pas auto-ajustée.) Des compteurs de statistiques ont également été ajoutés pour suivre le nombre de requêtes affectées par ces quotas.
• dig + ednsflags peut maintenant être utilisé pour définir des drapeaux EDNS encore à définir dans les requêtes DNS.
• dig + [no] ednsnegotiation peut maintenant être utilisé pour activer / désactiver la négociation de version EDNS.
• Un commutateur de configuration --enable-querytrace est maintenant disponible pour activer le tracelogging de requête très verbeux. Cette option ne peut être définie qu'à la compilation. Cette option a un impact négatif sur les performances et ne doit être utilisée que pour le débogage.
• Changements de fonctionnalité:
• Les grands changements de signature en ligne devraient être moins perturbants. La génération de signature est maintenant faite de manière incrémentale; le nombre de signatures à générer dans chaque quantum est contrôlé par "sig-signature-number number;". [RT # 37927]
• L'extension SIT expérimentale utilise maintenant le point de code d'option EDNS COOKIE (10) et est affichée comme "COOKIE:". Les directives named.conf existantes; "request-sit", "sit-secret" et "nosit-udp-size", sont toujours valides et seront remplacés par "send-cookie", "cookie-secret" et "nocookie-udp-size" dans BIND 9.11 . La directive dig "+ sit" est toujours valide et sera remplacée par "+ cookie" dans BIND 9.11.
• Lorsque vous réessayez une requête via TCP en raison de la troncature de la première réponse, dig envoie maintenant correctement la valeur COOKIE renvoyée par le serveur dans la réponse précédente. [RT # 39047]
• La récupération de la plage de ports locale depuis net.ipv4.ip_local_port_range sous Linux est désormais prise en charge.
• Noms Active Directory du formulaire gc._msdcs. sont maintenant acceptés comme noms d'hôtes valides lors de l'utilisation de l'option check-names. est toujours limité aux lettres, chiffres et tirets.
• Les noms contenant du texte enrichi sont maintenant acceptés comme noms d'hôte valides dans les enregistrements PTR dans les zones de recherche inversée DNS-SD, comme spécifié dans la RFC 6763. [RT # 37889]
• Corrections de bugs:
• Les charges de zone asynchrones n'étaient pas gérées correctement lorsque la charge de zone était déjà en cours. Cela pourrait déclencher un crash dans zt.c. [RT # 37573]
• Une course lors de l'arrêt ou de la reconfiguration peut provoquer un échec d'assertion dans mem.c. [RT # 38979]
• Certaines options de formatage des réponses ne fonctionnaient pas correctement avec dig + short. [RT # 39291]
• Des enregistrements malformés de certains types, y compris NSAP et UNSPEC, peuvent déclencher des échecs d'assertion lors du chargement de fichiers de zone de texte. [TA n ° 40274] [RT # 40285]
• Correction d'un plantage possible dans ratelimiter.c provoqué par la suppression des messages NOTIFY dans la mauvaise file d'attente du limiteur de débit. [RT # 40350]
• L'ordre rrset par défaut de random était appliqué de manière incohérente. [RT # 40456]
• Les réponses BADVERS des serveurs de noms d'autorité endommagés n'ont pas été gérées correctement. [RT # 40427]
• Plusieurs bogues ont été corrigés dans l'implémentation RPZ: + Les zones de règles qui ne nécessitaient pas spécifiquement de récursivité pourraient être traitées comme si elles l'étaient; par conséquent, en définissant qname-wait-recurse no; était parfois inefficace. Cela a été corrigé. Dans la plupart des configurations, les changements de comportement dus à ce correctif ne seront pas visibles. [RT # 39229] + Le serveur pourrait tomber en panne si les zones de politique étaient mises à jour (par exemple via le rechargement rndc ou un transfert de zone entrant) alors que le traitement RPZ était toujours en cours pour une requête active. [RT # 39415] + Sur les serveurs avec une ou plusieurs zones de stratégie configurées comme esclaves, si une zone de stratégie est mise à jour pendant le fonctionnement normal (plutôt qu'au démarrage) en utilisant un rechargement de zone complet, comme via AXFR, un bug pourrait permettre le résumé RPZ les données ne sont plus synchronisées, ce qui peut entraîner un échec d'assertion dans rpz.c lorsque d'autres mises à jour incrémentielles ont été effectuées dans la zone, par exemple via IXFR. [RT # 39567] + Le serveur pouvait correspondre à un préfixe plus court que ce qui était disponible dans les déclencheurs de politique CLIENT-IP, et ainsi, une action inattendue pouvait être entreprise. Cela a été corrigé. [RT # 39481] + Le serveur pourrait tomber en panne si un rechargement d'une zone RPZ était initié alors qu'un autre rechargement de la même zone était déjà en cours.[RT # 39649] + Les noms de requête peuvent correspondre à la mauvaise zone de stratégie si des enregistrements génériques étaient présents. [RT # 40357]