Выпуск DNS-сервера BIND 9.10.4 и 9.9.9
Консорциум ISC представил новый значительный выпуск DNS-сервера BIND 9.10.4, а также обновление прошлой, но ещё поддерживаемой ветки — BIND 9.9.9.
Основные изменения:
- Добавлена поддержка новых типов записей AVC, CSYNC, NINFO, RKEY, SINK, SMIMEA, TA, TALINK;
- Обеспечен вывод предупреждений для основных проблем с настройкой перенаправления при использовании зон для внутренних подсетей (RFC 1918, интранет) и IPv6 ULA (Universal Local Address);
- В состав добавлена утилита contrib/dnsperf-2.1.0.0–1 для тестирования производительности DNS-сервера;
- Добавлена проверка времени RRSIG при загрузке зон, заверенных цифровой подписью (если время зоны опережает текущее время осуществляется RRSIG);
- Обновлены адреса корневых серверов H.ROOT-SERVERS.NET и L.ROOT-SERVERS.NET;
- НА многопроцессорных системах используемое по умолчанию число обработчиков UDP-соединений теперь устанавливается в значение, на 1 меньше, чем число процессоров;
- Уменьшен размер сообщения при передачи зон между хостами, что позволило более эффективно использовать сжатие и уменьшить нагрузку на сеть;
- В вывод «named -V» добавлено отображение деталей об операционной системе;
- Устранено несколько DoS-уязвимостей:
- CVE-2016–2088 — крах при дублировании опций EDNS COOKIE в ответе;
- CVE-2016–1286 — сбой резолвера при обработке некорректных записей DNAME в ответе сервера;
- CVE-2016–1285 — крах named и rndc при обработке некорректного управляющего сообщения;
- CVE-2015–8705- крах при обработке специально оформленных записей OPT с флагом CLIENT-SUBNET;
- CVE-2015–8704 — сбой INSIST при отправке серии рекурсивных запросов записей RR с типом APL;
- CVE-2015–8000 — сбой REQUIRE в случае кэширования некорректно оформленных DNS-записей.
© OpenNet
