PowerDNS

• Améliorations:
• # 6239, # 6559: pdnsutil: utilise un nouveau domaine dans b2bmigrate (Aki Tuomi)
• # 6130: Mettre à jour les années de copyright jusqu'en 2018 (Matt Nordhoff)
• # 6312, # 6545: Loglevel 'paquet trop court'
• Corrections de bugs:
• # 6441, # 6614: Restreindre la création des jeux RR OPT et TSIG
• # 6228, # 6370: Correction du traitement des valeurs renvoyées par les filtres axfr définis par l'utilisateur
• # 6584, # 6585, # 6608: Empêche le backend de GeoIP de copier des NetMaskTrees, corrige des ralentissements dans certaines configurations (Aki Tuomi)
• # 6654, # 6659: Vérifiez que les réponses d'alias sur TCP ont un nom correct

Quoi de neuf dans la version:

• Cette publication présente des contributions importantes de notre communauté. Nous aimerions souligner le travail inlassable de Kees Monshouwer dans l'amélioration du serveur faisant autorité basé sur sa vaste expérience de mise à l'échelle de PowerDNS pour des millions de zones de production DNSSEC. Christian Hofstaedtler et Jan-Piet Mens ont également contribué massivement dans de nombreux endroits différents. Merci également à Gregory Oestreicher pour avoir revu et relancé le backend LDAP. Wolfgang Studier, «MrM0nkey», Tudor Soroceanu et Benjamin Zengin ont livré l'API de gestion DNSSEC, dans le cadre de leurs études à TU Berlin.
• Nous avons essayé de lister tous les autres dans le changelog complet, et nous sommes très reconnaissants pour tout le travail et les tests que PowerDNS a reçus de la communauté!
• Performances améliorées: accélération de 4x dans certains scénarios:
• Il y a plus d'un an, le RIPE NCC a comparé plusieurs implémentations de serveurs de noms et a découvert que PowerDNS n'était pas un serveur racine performant. Bien que PowerDNS soit efficace pour desservir des millions de zones, nous souhaitons également être rapides sur les petites zones. Les résultats de cette frénésie d'optimisation sont décrits ici, ainsi que dans cet article plus long "Optimiser l'optimisation: quelques idées qui ont conduit à une accélération de 400% de PowerDNS". Le cache (re) travail de Kees Monshouwer a été vital pour atteindre cette amélioration de performance.
• API Crypto: DNSSEC entièrement configurable via l'API RESTful:
• Notre API HTTP RESTful a pris en charge le DNSSEC et la gestion des clés. Cette API est "plus riche que la plupart des" car il est conscient de la sémantique DNSSEC, et vous permet donc de manipuler des zones sans avoir à penser aux détails DNSSEC. L'API fera la bonne chose. Ce travail a été réalisé par Wolfgang Studier, # MrM0nkey, Tudor Soroceanu et Benjamin Zengin dans le cadre de leur travail au TU Berlin.
• Base de données associée: reconnexion et champs d'ID 64 bits:
• Les serveurs de base de données se déconnectent parfois après des périodes d'inactivité plus ou moins longues. Cela peut perturber PowerDNS et les bibliothèques client de base de données dans certaines conditions de silence. 4.1 contient une logique de reconnexion améliorée qui, selon nous, résout tous les problèmes associés. Dans un développement agréable, un utilisateur PowerDNS a une base de données si grande qu'ils ont dépassé un compteur d'ID 32 bits, qui a maintenant été fait 64 bits.
• Amélioration de la documentation:
• Notre Pieter Lexis a investi beaucoup de temps pour améliorer non seulement le contenu mais aussi l'apparence et la recherche de notre documentation. Jetez un coup d'œil à https://doc.powerdns.com/authoritative/ et sachez que vous pouvez facilement modifier notre documentation via l'éditeur intégré de GitHub.
• Suppression du récurreur de passage:
• Cela aura un impact sur de nombreuses installations, et nous réalisons que cela peut être douloureux, mais c'est nécessaire. Auparavant, PowerDNS Authoritative Server contenait une fonction permettant d'envoyer des requêtes souhaitées de récursivité à un backend de résolution, éventuellement après avoir consulté son cache local. Cette fonctionnalité ('recursor =') était souvent source de confusion et fournissait également des résultats incohérents, par exemple lorsqu'une requête se référait à un CNAME en dehors de la connaissance du serveur faisant autorité. Pour effectuer une migration à partir d'un serveur PowerDNS faisant autorité avec l'instruction 'recursor' dans le fichier de configuration, reportez-vous à la section Migration de l'utilisation de la récursivité sur le serveur faisant autorité à l'aide d'un Récurseur.
• Divers:
• Le support a été ajouté pour TCP Fast Open. La liaison non locale est maintenant prise en charge. pdnsutil check-zone va maintenant avertir de plus d'erreurs ou de configurations improbables. Nos paquets sont maintenant livrés avec le support PKCS # 11 (qui nécessitait auparavant une recompilation). Intégration améliorée avec la journalisation systemd (suppression d'horodatage).

Nouveautés dans la version 4.0.0:

• Beaucoup de changements sont à l'intérieur et faisaient partie du grand "nettoyage de printemps":
• Déplacé vers C ++ 2011, une version plus puissante de C ++ qui nous a permis d'améliorer la qualité de l'implémentation dans de nombreux endroits.
• Implémenter une infrastructure dédiée pour traiter les noms DNS qui est entièrement "DNS Native"; et a besoin de moins de s'échapper et de s'échapper. Pour cette raison, PowerDNS Authoritative Server peut désormais prendre en charge les zones racines activées pour DNSSEC.
• Tous les backends dérivés du backend SQL générique utilisent des instructions préparées.
• Le serveur et pdns_control font le bon choix quand ils sont chrootés.
• Les caches sont maintenant entièrement canoniquement ordonnés, ce qui signifie que les entrées peuvent être effacées sur tous les suffixes
• En plus de ce nettoyage, les nouvelles fonctionnalités suivantes ont été ajoutées:
• Un backend ODBC relancé et supporté (godbc).
• Un backend LDAP relancé et supporté (ldap).
• Prise en charge des transferts de clés CDS / CDNSKEY et RFC 7344.
• Prise en charge de l'enregistrement ALIAS.
• Le serveur Web et l'API ne sont plus expérimentaux. Le chemin API a été déplacé vers / api / v1
• DNSUpdate n'est plus expérimental.
• ECDSA (algorithmes 13 et 14) pris en charge sans bibliothèques cryptographiques internes (fournies par OpenSSL).
• Support expérimental pour les signatures DNSSEC ed25519 (compilé avec le support de libsodium).
• Beaucoup de nouvelles commandes pdnsutil, par exemple

La commande d'aide
• produit maintenant l'aide
• Avertit si le fichier de configuration ne peut pas être lu
• Ne vérifie pas les enregistrements désactivés avec check-zone sauf si le mode verbeux est activé

La commande
• create-zone crée une nouvelle zone
• commande d'ajout d'enregistrement pour ajouter des enregistrements

Commandes
• delete-rrset et replace-rrset pour supprimer et ajouter des rrsets
• commande edit-zone qui génère $ EDITOR avec le contenu de la zone au format fichier de zone, quel que soit le backend utilisé (blogpost)
• Le backend GeoIP a gagné beaucoup de fonctionnalités, et peut maintenant par ex. exécuté sur la base de masques de réseau explicites non présents dans les bases de données GeoIP
• Avec les nouvelles fonctionnalités, il y a des suppressions. Les backends suivants ont été supprimés dans 4.0.0:
• LMDB.
• Geo (utilisez le GeoIP amélioré à la place).
• D'autres changements et dépréciations importants incluent:
• pdnssec a été renommé en pdnsutil.
• La prise en charge des librairies de chiffrement PolarSSL / MbedTLS, Crypto ++ et Botan a été abandonnée en faveur de l'OpenSSL libcrypto (plus rapide) (à l'exception de GOST, qui est toujours fourni par Botan).
• ECDSA P256 SHA256 (algorithme 13) est maintenant l'algorithme par défaut lors de la sécurisation des zones.
• Le serveur faisant autorité PowerDNS écoute maintenant par défaut sur toutes les adresses IPv6.
• Plusieurs requêtes superflues ont été supprimées des backends SQL génériques, si vous utilisez un schéma SQL non standard, veuillez passer en revue les nouvelles valeurs par défaut
• insertion-ent-requête, insertion-vide-non-terminal-requête, insertion-ent-commande-requête ont été remplacées par une requête nommée insert-empty-non-terminal-order-query
• insert-record-order-query a été supprimé, insert-record-query définit maintenant le nom d'ordre (ou NULL)
• insert-slave-query a été supprimée, insert-zone-query définit maintenant le type de zone
• Les valeurs de métadonnées INCEPTION, INCEPTION-WEEK et EPOCH SOA-EDIT sont marquées comme obsolètes et seront supprimées dans 4.1.0

Quoi de neuf dans la version 3.4.9:

• Les plus grandes corrections sont la mise en cache négative améliorée et la prévention d'un crash qui pourrait se produire pendant l'AXFR d'une zone avec de nombreux enregistrements MX de priorités différentes.

Nouveautés dans la version 3.4.4:

• La partie la plus importante de cette mise à jour est un correctif pour CVE-2015-1868.

Quoi de neuf dans la version 3.4.3:

• Corrections de bugs:
• commit ceb49ce: pdns_control: exit 1 sur commande inconnue (Ruben Kerkhof)
• commit 1406891: évaluer les paires KSK ZSK par algorithme (Kees Monshouwer)
• commit 3ca050f: toujours définir di.notified_serial dans getAllDomains (Kees Monshouwer)
• commit d9d09e1: pdns_control: n'ouvre pas le socket dans / tmp (Ruben Kerkhof)
• Nouvelles fonctionnalités:
• commit 2f67952: Limite qui peut nous envoyer des requêtes AXFR notify (Ruben Kerkhof)
• Améliorations:
• commit d7bec64: répond REFUSED au lieu de NOERROR pour "zone inconnue"; situations
• commit ebeb9d7: Vérifie Lua 5.3 (Ruben Kerkhof)
• commit d09931d: Vérifier le compilateur pour le support relro au lieu du linker (Ruben Kerkhof)
• commit c4b0d0c: Remplacez PacketHandler par UeberBackend si possible (Christian Hofstaedtler)
• commit 5a85152: PacketHandler: Partager UeberBackend avec DNSSECKeeper (Christian Hofstaedtler)
• commettre 97bd444: réparer le bâtiment avec GCC 5
• Modifications de l'API expérimentale (Christian Hofstaedtler):
• commit ca44706: API: déplace le lecteur DomainInfo partagé dans sa propre fonction
• commit 102602f: API: autorise l'écriture dans le champ domains.account
• commit d82f632: API: lire et exposer le champ du compte de domaine
• commit 2b06977: API: être plus strict lors de l'analyse du contenu des enregistrements
• commit 2f72b7c: API: Rejeter les types inconnus (TYPE0)
• commit d82f632: API: lire et exposer le champ du compte de domaine

Quoi de neuf dans la version 3.4.2:

• Améliorations:
• commit 73004f1: implémenter CORS pour l'API HTTP
• commit 4d9c289: qtype est maintenant insensible à la casse dans l'API et la base de données
• commettre 13af5d8, valider 223373a, valider 1d5a68d, valider 705a73f, valider b418d52: Autoriser (facultatif) le durcissement de la fonction TARIFICATION
• commit 2f86f20: json-api: supprime la priorité de json
• commit cefcf9f: correctifs backport remotebackend
• commit 920f987, commit dd8853c: Support de Lua 5.3
• commit 003aae5: supporte la signature ZSK de type unique
• commit 1c57e1d: Correctif possible pour le ticket # 1907, nous essayons maintenant de charger libgcc_s.so.1 avant de chrooter. Je ne peux pas reproduire le bogue sur mon système local, mais cela "devrait" & quot; aide.
• commit 031ab21: mise à jour de polarssl vers 1.3.9
• Corrections de bugs:
• commit 60b2b7c, commit d962fbc: refuse les étiquettes trop longues dans les noms
• commit a64fd6a: auth: limite les chaînes longues à 63 caractères et attrape les exceptions dans secpoll
• commettre fa52e02: pdnssec: corriger ttl vérifier les enregistrements RRSIG
• commit 0678b25: correction du rapport de latence pour les latences inférieures à la milliseconde (clip à 0)
• commit d45c1f1: assurez-vous que nous ne lançons pas d'exception sur "pdns_control show". d'une variable inconnue
• commit 63c8088: corrige la condition de course de démarrage avec un thread carbon essayant déjà de diffuser des données non initialisées
• commit 796321c: rend qsize-q plus robuste
• commit 407867c: Kees Monshouwer a découvert que nous comptions les paquets corrompus et les situations EAGAIN comme des paquets validement reçus, faussant les graphes questions / réponses d'udp sur auth.
• commit f06d069: rend la latence et le reporting qsize 'live'. Plus fixer que nous avons seulement signalé le qsize du premier distributeur.
• commit 2f3498e: corrige le statbag pour le protocole carbone et les pointeurs de fonction
• commit 0f2f999: obtient la priorité de la table dans Lua axfrfilter; corrige le ticket # 1857
• valider 96963e2, valider bbcbbbe, valider d5c9c07: différents backends: corriger les enregistrements pointant vers la racine
• commit e94c2c4: supprime la couche supplémentaire de trailing. stripping, qui a brisé les enregistrements MX à la racine dans le backend BIND. Devrait fermer le ticket # 1243.
• commit 8f35ba2: api: utilise les résultats non attachés pour getKeys ()
• commit c574336: lire ALLOW-AXFR-FROM depuis le backend avec les métadonnées
• Modifications mineures:
• commit 1e39b4c: déplace les pages de manuel vers la section 1
• commit b3992d9: secpoll: Remplace ~ par _
• commit 9799ef5: seules les zones avec un ksk actif sont sécurisées
• commit d02744f: api: affiche les clés des zones sans ksk actif
• Nouvelles fonctionnalités:
• commit 1b97ba0: ajoute la métrique des signatures à auth, donc nous pouvons tracer les signatures / seconde
• commit 92cef2d: pdns_control: permet de notifier toutes les zones en même temps
• commit f648752: API JSON: fournir flush-cache, notifier, axfr-receive
• commit 02653a7: ajoute 'bench-db' pour faire un benchmark très simple sur les performances backend de la base de données
• commit a83257a: activer les métriques basées sur les callbacks pour statbas, et ajouter 5 métriques: uptime, sys-msec, user-msec, taille de cache de clé, taille de méta-cache, taille de cache de signature
• Amélioration des performances:
• commit a37fe8c: meilleure clé pour packetcache
• commit e5217bb: ne fais pas de temps (0) sous le verrou du cache de signature
• valider d061045, valider 135db51, valider 7d0f392: partitionner le cache de paquets, fermeture du ticket # 1910.
• commit d71a712: grâce à Jack Lloyd, cela fonctionne autour de l'allocateur Botan par défaut qui ralentit pour nous lors de l'utilisation en production.

Quoi de neuf dans la version 3.4.1:

• valider dcd6524, valider a8750a5, valider 7dc86bf, valider 2fda71f: PowerDNS interroge maintenant l'état de sécurité d'une version au démarrage et périodiquement. Plus de détails sur cette fonctionnalité, et comment l'éteindre, peuvent être trouvés dans la section 2, "Sondage de sécurité".
• commit 5fe6dc0: API: Remplacer l'authentification HTTP Basic par une clé statique dans l'en-tête personnalisé (clé X-API)
• commit 4a95ab4: Utiliser la transaction pour pdnssec increase-serial
• commit 6e82a23: Ne pas vider le nom d'utilisateur pendant pdnssec increase-serial
• commit 535f4e3: honore SOA-EDIT en considérant "empty IXFR" & quot; fallback, corrige le ticket 1835. Cela corrige l'asservissement des zones signées aux esclaves compatibles IXFR comme NSD ou BIND.

Nouveautés dans la version 3.4:

• Il s'agit d'une mise à jour des performances, fonctionnalités, corrections de bogues et 3.3.1 et toute version antérieure. Il contient une énorme quantité de travail de divers contributeurs, à qui nous sommes très reconnaissants.

Quoi de neuf dans la version 3.3.1:

• direct-dnskey n'est plus expérimental, merci Kees Monshouwer & co pour les tests approfondis (commit e4b36a4).
• Traite les signaux pendant l'interrogation (commit 5dde2c6).
• commit 7538e56: Corrige les codes de sortie de zone2 {sql, json}
• commit 7593c40: geobackend: corrige le possible nullptr deref
• commit 3506cc6: gpsqlbackend: n'ajoute pas de nom de fichier vide = / user = valeurs à la chaîne de connexion

Les requêtes
• gpgsql ont été simplifiées grâce à cast (commit 9a6e39c).
• commit a7aa9be: Remplacer le make avec la variable hardcoded
• commit e4fe901: assurez-vous de lancer PKG_PROG_PKG_CONFIG avant la première utilisation de PKG_ *
• commit 29bf169: corrige la recherche de clé TSIG hmac-md5
• commit c4e348b: corrige plus de 64 caractères TSIG
• commit 00a7b25: Corrige la comparaison entre signed et unsigned en utilisant uint32_t pour la création sur INCEPTION-EPOCH
• commit d3f6432: corrige le bâtiment sur os x 10.9, merci Martijn Bakker.
• Nous autorisons maintenant la construction de Lua 5.2 (commit bef3000, commit 2bdd03b, commit 88d9e99).
• commettre fa1f845: autodetecter le jeu de caractères de connexion MySQL 5.5+
• Lorsqu'elles sont mal configurées en utilisant les bons fuseaux horaires, un bogue dans (g) libc gmtime casse nos signatures. Fixé dans commit e4faf74 par Kees Monshouwer en implémentant notre propre gmtime_r.
• Lors de l'envoi de SERVFAIL en raison d'une boucle CNAME, n'incluez pas inutilement les CNAME (commit dfd1b82).
• Construire des correctifs pour les plates-formes avec des types 'bizarres' (comme s390 / s390x): commit c669f7c (détails), commit 07b904e et commit 2400764.
• Support de la syntaxe + = pour les options, commit 98dd325 et autres.
• commit f8f29f4: nproxy: Ajoute chdir manquant ("/") après chroot ()
• commit 2e6e9ad: correction pour "missing & quot; libmysqlclient sur les systèmes basés sur RHEL / CentOS
• améliorations pdnssec check-zone dans commit 5205892, commit edb255f, commit 0dde9d0, commit 07ee700, commit 79a3091, commit 08f3452, commit bcf9daf, commit c9a3dd7, commit 6ebfd08, commit fd53bd0, commit 7eaa83a, commit e319467,,
• NSEC / NSEC3 corrige dans commit 3191709, commente f75293f, committe cd30e94, committe 74baf86, commente 1fa8b2b
• Le serveur web pourrait planter quand les buffers d'anneau ont été redimensionnés, fixés dans le commit 3dfb45f.
• commit 213ec4a: ajoute des contraintes pour le nom au schéma pg
• commit f104427: rend les requêtes domainmetadata insensibles à la casse
• commit 78fc378: pas de compression d'étiquette pour le nom dans les enregistrements TSIG
• commit 15d6ffb: pdnssec affiche maintenant les enregistrements ZSK DNSKEY si le support experimental-direct-dnskey est activé (renommé en direct-dnskey avant la libération!)
• commit ad67d0e: drop cryptopp de la construction statique car libcryptopp.a est cassé sur Debian 7, qui est ce sur quoi nous construisons
• commit 7632dd8: supporte polarssl 1.3 en externe.
• Remotebackend a été entièrement mis à jour dans divers commits.
• commit 82def39: SOA-EDIT: corrige la gestion de INCEPTION-INCREMENT
• commit a3a546c: ajoute l'option innodb-read-committed aux paramètres de gmysql.
• commit 9c56e16: remarque le timeout lors de la récupération AXFR, merci hkraal

Quoi de neuf dans la version 3.1 RC1:

• Cette version corrige d'importants problèmes DNSSEC, adresse l'utilisation de la mémoire, et contient une grande quantité d'améliorations et de corrections de bogues.

Quoi de neuf dans la version 3.0.1:

• Cette version est identique à 3.0, sauf avec un correction pour CVE-2012-0206 aka PowerDNS Security Notification 2012-01. Une mise à niveau est recommandée.

Quoi de neuf dans la version 3.0 RC3:

• Cette version apporte un support complet pour DNSSEC, avec la signature automatique, les transferts et la maintenance des clés.
• L'objectif est de permettre aux installations PowerDNS existantes de commencer à servir DNSSEC avec le moins de tracas possible, tout en maintenant les performances et en atteignant des niveaux de sécurité élevés.
• D'autres nouvelles fonctionnalités incluent TSIG, un backend MyDNS-compat, aussi-notify, maître / esclave sur IPv6, un moteur d'esclavage parallèle en masse, le support MongoDB et l'édition de la zone Lua.

Quoi de neuf dans la version 3.0 RC1:

• Cette version apporte un support complet pour DNSSEC, avec signature automatique , les rollovers et la maintenance des clés.
• L'objectif est de permettre aux installations PowerDNS existantes de commencer à servir DNSSEC avec le moins de tracas possible, tout en maintenant les performances et en atteignant des niveaux de sécurité élevés.
• D'autres nouvelles fonctionnalités incluent TSIG, un backend MyDNS-compat, aussi-notify, maître / esclave sur IPv6, un moteur d'esclavage parallèle en vrac, et l'édition de la zone Lua.

Nouveautés dans la version 2.9.22:

• Cette version apporte un nombre raisonnable de nouvelles fonctionnalités, combinées à de grandes augmentations de performances pour les grosses installations.
• De plus, un nombre important de bugs et de problèmes ont été résolus.
• Ceci est une mise à jour recommandée.

Quoi de neuf dans la version 2.9.22 RC2:

• Comparé à 2.9.21, cette version offre une amélioration considérable des performances pour les installations exécutant des TTL à mémoire cache élevée ou un cache de paquets volumineux, dans de nombreux cas d'un ordre de grandeur.
• De plus, un grand nombre de bogues ont été corrigés, certaines fonctionnalités ont été ajoutées et, dans l'ensemble, de nombreuses améliorations ont été apportées.
• RC2 corrige des problèmes importants par rapport à RC1.

Quoi de neuf dans la version 2.9.22 RC1:

• Comparé à 2.9.21, cette version offre une amélioration considérable des performances pour les installations exécutant des TTL à mémoire cache élevée ou un cache de paquets volumineux, dans de nombreux cas d'un ordre de grandeur.
• De plus, un grand nombre de bogues ont été corrigés, certaines fonctionnalités ont été ajoutées et, dans l'ensemble, de nombreuses améliorations ont été apportées.

Quoi de neuf dans la version 2.9.21.2:

• Certaines (rares) configurations de PowerDNS Authoritative Server peuvent être forcées à redémarrer à distance.
• Pour les autres configurations, une reconnexion de base de données peut être déclenchée à distance.
• Ces problèmes ont été corrigés.