BIND (Berkeley Internet Name Domain)는 DNS (Domain Name System) 프로토콜의 오픈 소스 구현을 배포하는 명령 줄 UNIX 소프트웨어입니다. 이것은 resolver 라이브러리,`named '라는 서버 / 데몬, 그리고 DNS 서버의 적절한 작동을 테스트하고 검증하는 소프트웨어 도구로 구성됩니다.
원래 Berkeley 소재 University of California에서 작성된 BIND는 Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, US Defense Information Systems Agency, USENIX Association, Process Software Corporation, Nominum, 및 Stichting NLNet & ndash; NLNet 재단.
무엇이 포함되어 있습니까?
언급 한 바와 같이 BIND는 도메인 이름 시스템 서버, 도메인 이름 시스템 해석자 라이브러리 및 서버 테스트 용 소프트웨어 도구로 구성됩니다. DNS 서버 구현은 공식 DNS 프로토콜 표준에 명시된 규칙을 사용하여받은 질문에 응답하는 역할을 담당하지만 DNS 확인자 라이브러리는 도메인 이름에 대한 질문을 해결합니다.
지원되는 운영 체제
BIND는 GNU / Linux 플랫폼 용으로 특별히 설계되었으며 Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, openSUSE, Mageia, 그리고 많은 다른 사람들. 32 비트 및 64 비트 명령어 세트 아키텍처를 모두 지원합니다.
이 프로젝트는 BIND 소스 코드가 포함 된 단일 범용 tarball로 배포되므로 사용자는 하드웨어 플랫폼 및 운영 체제에 맞게 소프트웨어를 최적화 할 수 있습니다 (위의 지원되는 OS 및 아키텍처 참조).
이 릴리스의 새로운 기능 :
nxdomain-redirect 기능의 코딩 오류로 인해 리디렉션 네임 스페이스가 재귀 조회 대신 로컬 영역이나 DLZ와 같은 로컬 신뢰할 수있는 데이터 소스에서 제공되는 경우 어설 션 오류가 발생할 수 있습니다. 이 결함은 CVE-2016-9778에 명시되어 있습니다. [RT # 43837]
명명 된 오류로 인해 RRSIG가 누락 된 권한 섹션이 잘못되어 어설 션 오류가 발생할 수 있습니다. 이 결함은 CVE-2016-9444에 설명되어 있습니다. [RT # 43632]
Named는 RRSIG 레코드를 덮는 것이 요청 된 데이터없이 반환되어 어설 션 오류가 발생하는 일부 응답을 잘못 처리합니다. 이 결함은 CVE-2016-9147에 공개되었습니다. [RT # 43548]
클래스 이름이 일치하지 않을 때 어설 션 오류를 유발할 수있는 TKEY 레코드를 캐시하려고했습니다. 이 결함은 CVE-2016-9131에 명시되어 있습니다. [RT # 43522]
응답을 처리 할 때 어설 션을 트리거 할 수있었습니다. 이 결함은 CVE-2016-8864에 설명되어 있습니다. [RT # 43465]
9.11.2 버전의 새로운 기능 :
nxdomain-redirect 기능의 코딩 오류로 인해 리디렉션 네임 스페이스가 재귀 조회 대신 로컬 영역이나 DLZ와 같은 로컬 신뢰할 수있는 데이터 소스에서 제공되는 경우 어설 션 오류가 발생할 수 있습니다. 이 결함은 CVE-2016-9778에 명시되어 있습니다. [RT # 43837]
명명 된 오류로 인해 RRSIG가 누락 된 권한 섹션이 잘못되어 어설 션 오류가 발생할 수 있습니다. 이 결함은 CVE-2016-9444에 설명되어 있습니다. [RT # 43632]
Named는 RRSIG 레코드를 덮는 것이 요청 된 데이터없이 반환되어 어설 션 오류가 발생하는 일부 응답을 잘못 처리합니다. 이 결함은 CVE-2016-9147에 공개되었습니다. [RT # 43548]
클래스 이름이 일치하지 않을 때 어설 션 오류를 유발할 수있는 TKEY 레코드를 캐시하려고했습니다. 이 결함은 CVE-2016-9131에 명시되어 있습니다. [RT # 43522]
응답을 처리 할 때 어설 션을 트리거 할 수있었습니다. 이 결함은 CVE-2016-8864에 설명되어 있습니다. [RT # 43465]
9.11.1-P3 버전의 새로운 기능 :
nxdomain-redirect 기능의 코딩 오류로 인해 리디렉션 네임 스페이스가 재귀 조회 대신 로컬 영역이나 DLZ와 같은 로컬 신뢰할 수있는 데이터 소스에서 제공되는 경우 어설 션 오류가 발생할 수 있습니다. 이 결함은 CVE-2016-9778에 명시되어 있습니다. [RT # 43837]
명명 된 오류로 인해 RRSIG가 누락 된 권한 섹션이 잘못되어 어설 션 오류가 발생할 수 있습니다. 이 결함은 CVE-2016-9444에 설명되어 있습니다. [RT # 43632]
Named는 RRSIG 레코드를 덮는 것이 요청 된 데이터없이 반환되어 어설 션 오류가 발생하는 일부 응답을 잘못 처리합니다. 이 결함은 CVE-2016-9147에 공개되었습니다. [RT # 43548]
클래스 이름이 일치하지 않을 때 어설 션 오류를 유발할 수있는 TKEY 레코드를 캐시하려고했습니다. 이 결함은 CVE-2016-9131에 명시되어 있습니다. [RT # 43522]
응답을 처리 할 때 어설 션을 트리거 할 수있었습니다. 이 결함은 CVE-2016-8864에 설명되어 있습니다. [RT # 43465]
버전 9.11.1-P1의 새로운 기능 :
nxdomain-redirect 기능의 코딩 오류로 인해 리디렉션 네임 스페이스가 재귀 조회 대신 로컬 영역이나 DLZ와 같은 로컬 신뢰할 수있는 데이터 소스에서 제공되는 경우 어설 션 오류가 발생할 수 있습니다. 이 결함은 CVE-2016-9778에 명시되어 있습니다. [RT # 43837]
명명 된 오류로 인해 RRSIG가 누락 된 권한 섹션이 잘못되어 어설 션 오류가 발생할 수 있습니다. 이 결함은 CVE-2016-9444에 설명되어 있습니다. [RT # 43632]
Named는 RRSIG 레코드를 덮는 것이 요청 된 데이터없이 반환되어 어설 션 오류가 발생하는 일부 응답을 잘못 처리합니다. 이 결함은 CVE-2016-9147에 공개되었습니다. [RT # 43548]
클래스 이름이 일치하지 않을 때 어설 션 오류를 유발할 수있는 TKEY 레코드를 캐시하려고했습니다. 이 결함은 CVE-2016-9131에 명시되어 있습니다. [RT # 43522]
응답을 처리 할 때 어설 션을 트리거 할 수있었습니다. 이 결함은 CVE-2016-8864에 설명되어 있습니다. [RT # 43465]
9.11.1 버전의 새로운 기능 :
nxdomain-redirect 기능의 코딩 오류로 인해 리디렉션 네임 스페이스가 재귀 조회 대신 로컬 영역이나 DLZ와 같은 로컬 신뢰할 수있는 데이터 소스에서 제공되는 경우 어설 션 오류가 발생할 수 있습니다. 이 결함은 CVE-2016-9778에 명시되어 있습니다. [RT # 43837]
명명 된 오류로 인해 RRSIG가 누락 된 권한 섹션이 잘못되어 어설 션 오류가 발생할 수 있습니다. 이 결함은 CVE-2016-9444에 설명되어 있습니다. [RT # 43632]
Named는 RRSIG 레코드를 덮는 것이 요청 된 데이터없이 반환되어 어설 션 오류가 발생하는 일부 응답을 잘못 처리합니다. 이 결함은 CVE-2016-9147에 공개되었습니다. [RT # 43548]
클래스 이름이 일치하지 않을 때 어설 션 오류를 유발할 수있는 TKEY 레코드를 캐시하려고했습니다. 이 결함은 CVE-2016-9131에 명시되어 있습니다. [RT # 43522]
응답을 처리 할 때 어설 션을 트리거 할 수있었습니다. 이 결함은 CVE-2016-8864에 설명되어 있습니다. [RT # 43465]
9.11.0-P2 버전의 새로운 기능 :
재귀 룩업 대신 로컬 영역이나 DLZ와 같은 로컬 신뢰할 수있는 데이터 소스에서 리디렉션 네임 스페이스를 제공 한 경우 nxdomain-redirect 기능의 코딩 오류로 인해 어설 션 오류가 발생할 수 있습니다. 이 결함은 CVE-2016-9778에 명시되어 있습니다. [RT # 43837]
명명 된 오류로 인해 RRSIG가 누락 된 권한 섹션이 잘못되어 어설 션 오류가 발생할 수 있습니다. 이 결함은 CVE-2016-9444에 설명되어 있습니다. [RT # 43632]
Named는 RRSIG 레코드를 덮는 것이 요청 된 데이터없이 반환되어 어설 션 오류가 발생하는 일부 응답을 잘못 처리합니다. 이 결함은 CVE-2016-9147에 공개되었습니다. [RT # 43548]
클래스 이름이 일치하지 않을 때 어설 션 오류를 유발할 수있는 TKEY 레코드를 캐시하려고했습니다. 이 결함은 CVE-2016-9131에 명시되어 있습니다. [RT # 43522]
응답을 처리 할 때 어설 션을 트리거 할 수있었습니다. 이 결함은 CVE-2016-8864에 설명되어 있습니다. [RT # 43465]
버전 9.11.0-P1의 새로운 기능 :
보안 수정 사항 :OPENPGPKEY rdatatype의 잘못된 경계 검사로 인해 어설 션 오류가 발생할 수 있습니다. 이 결함은 CVE-2015-5986에수록되어 있습니다. [RT # 40286]
버퍼 어카운팅 오류는 특정의 잘못된 DNSSEC 키를 구문 분석 할 때 어설 션 오류를 유발할 수 있습니다. 이 결함은 Fuzzing Project의 Hanno Bock이 발견했으며 CVE-2015-5722에 공개되었습니다. [RT # 40212]
특수하게 조작 된 쿼리로 인해 message.c에 어설 션 오류가 발생할 수 있습니다. 이 결함은 Jonathan Foote에 의해 발견되었으며 CVE-2015-5477에 공개되었습니다. [RT # 40046]
DNSSEC 유효성 검사를 수행하도록 구성된 서버에서는 특수하게 구성된 서버의 응답에 어설 션 오류가 발생할 수 있습니다. 이 결함은 Breno Silveira Soares가 발견했으며 CVE-2015-4620에 공개되었습니다. [RT # 39795]
새로운 기능 :재귀 적 확인자가 서비스 거부 공격을받는 권한있는 서버로 보내는 쿼리를 제한하기 위해 새로운 할당량이 추가되었습니다. 이러한 옵션을 구성하면 권한있는 서버에 대한 피해를 줄일 수 있으며 이러한 공격의 수단으로 사용될 때 재귀가 경험할 수있는 리소스 고갈을 피할 수 있습니다. 참고 :이 옵션은 기본적으로 사용할 수 없습니다. configure에 --enable-fetchlimit을 사용하여 빌드에 포함시킵니다. + 서버 당 페치 (fetches-per-server)는 단일 신뢰할 수있는 서버로 보낼 수있는 동시 쿼리 수를 제한합니다. 구성된 값은 시작점입니다. 서버가 부분적으로 또는 완전히 응답하지 않으면 자동으로 아래쪽으로 조정됩니다. 할당량을 조정하는 데 사용되는 알고리즘은 fetch-quota-params 옵션을 통해 구성 할 수 있습니다. + 영역 당 페치 (fetches-per-zone)는 단일 도메인 내의 이름에 대해 보낼 수있는 동시 질의 수를 제한합니다. (참고 : "서버 당 페치"와 달리이 값은 자체 조정이 아닙니다.) 이러한 쿼터의 영향을받는 쿼리 수를 추적하기 위해 통계 카운터가 추가되었습니다.
이제 dig + ednsflags를 사용하여 DNS 요청에서 아직 정의되지 않은 EDNS 플래그를 설정할 수 있습니다.dig + [no] ednsnegotiation을 사용하여 EDNS 버전 협상을 활성화 / 비활성화 할 수 있습니다.
--enable-querytrace configure 스위치를 사용하여 매우 자세한 쿼리 tracelogging을 사용할 수 있습니다. 이 옵션은 컴파일시에만 설정할 수 있습니다. 이 옵션은 성능에 부정적인 영향을 주며 디버깅에만 사용해야합니다.
기능 변경 :
큰 인라인 서명 변경은 덜 파괴적이어야합니다. 이제 서명 생성은 점진적으로 수행됩니다. 각 퀀텀에서 생성 될 시그니처의 수는 "시그니처 서명 번호"에 의해 제어됩니다. [RT # 37927]
실험용 SIT 확장은 이제 EDNS COOKIE 옵션 코드 포인트 (10)를 사용하고 "COOKIE :"로 표시됩니다. 기존의 named.conf 지시어. "request-sit", "sit-secret"및 "nosit-udp-size"는 여전히 유효하며 BIND 9.11에서 "send-cookie", "cookie-secret"및 "nocookie-udp-size"로 대체됩니다 . 기존의 dig 지시문 "+ sit"은 여전히 유효하며 BIND 9.11에서 "+ cookie"로 대체됩니다.
첫 번째 응답이 잘 리므로 TCP를 통해 쿼리를 다시 시도 할 때 dig는 이전 응답에서 서버가 반환 한 COOKIE 값을 올바르게 보냅니다. [RT # 39047]Linux의 net.ipv4.ip_local_port_range에서 로컬 포트 범위를 검색하는 기능이 지원됩니다.
gc._msdcs 형식의 Active Directory 이름입니다. check-names 옵션을 사용할 때 유효한 호스트 이름으로 허용됩니다. 여전히 문자, 숫자 및 하이픈으로 제한됩니다.
리치 텍스트가 포함 된 이름은 이제 RFC 6763에 지정된대로 DNS-SD 역방향 조회 영역의 PTR 레코드에서 유효한 호스트 이름으로 허용됩니다. [RT # 37889]
버그 수정:
영역로드가 이미 진행 중일 때 비동기 영역로드가 올바르게 처리되지 않았습니다. 이것은 zt.c에서 충돌을 일으킬 수 있습니다. [RT # 37573]
종료 또는 재구성 중에 경쟁이 발생하면 mem.c에 어설 션 오류가 발생할 수 있습니다. [RT # 38979]
일부 응답 형식 옵션은 dig + short로 올바르게 작동하지 않았습니다. [RT # 39291]
NSAP 및 UNSPEC을 포함한 일부 형식의 형식이 잘못된 레코드는 텍스트 영역 파일을로드 할 때 어설 션 오류를 유발할 수 있습니다. [RT # 40274] [RT # 40285]
잘못된 속도 제한 기 대기열에서 NOTIFY 메시지가 제거되어 ratelimiter.c의 충돌이 해결되었습니다. [RT # 40350]
random의 기본 rrset-order가 일관성없이 적용되었습니다. [RT # 40456]손상된 권위있는 이름 서버의 BADVERS 응답이 올바르게 처리되지 않았습니다. [RT # 40427]RPZ 구현에서 몇 가지 버그가 수정되었습니다. + 특별히 재귀를 필요로하지 않는 정책 영역은 마치 그 것처럼 처리 될 수 있습니다. 따라서 qname-wait-recurse no를 설정하십시오. 때때로 효과가 없었다. 이 문제가 해결되었습니다. 대부분의 구성에서이 수정으로 인한 동작 변경은 눈에 띄지 않습니다. [RT # 39229] + RPZ 처리가 진행중인 쿼리에 대해 정책 영역이 업데이트되면 (예 : rndc reload 또는 들어오는 영역 전송을 통해) 서버가 중단 될 수 있습니다. [RT # 39415] + 하나 이상의 정책 영역이 슬레이브로 구성된 서버에서 AXFR을 통해 전체 영역을 다시로드 할 때 정책 영역이 시작될 때가 아닌 일반 작업 중에 업데이트되면 버그로 인해 RPZ 요약이 허용 될 수 있습니다 데이터가 동기화되지 않아 잠재적으로 IXFR을 통해 영역을 점진적으로 업데이트 할 때 rpz.c에서 어설 션 오류가 발생할 수 있습니다. [RT # 39567] + 서버가 CLIENT-IP 정책 트리거에서 사용 가능한 것보다 짧은 접두어와 일치 할 수 있으므로 예기치 않은 작업이 수행 될 수 있습니다. 이 문제가 해결되었습니다. [RT # 39481] + 같은 영역의 다른 재 장전이 이미 진행 중일 때 RPZ 영역의 재로드가 시작되면 서버가 중단 될 수 있습니다.
[RT # 39649] + 와일드 카드 레코드가있는 경우 쿼리 이름이 잘못된 정책 영역과 일치 할 수 있습니다. [RT # 40357]
9.11.0 버전의 새로운 기능 :
보안 수정 사항 :OPENPGPKEY rdatatype의 잘못된 경계 검사로 인해 어설 션 오류가 발생할 수 있습니다. 이 결함은 CVE-2015-5986에수록되어 있습니다. [RT # 40286]
버퍼 어카운팅 오류는 특정의 잘못된 DNSSEC 키를 구문 분석 할 때 어설 션 오류를 유발할 수 있습니다. 이 결함은 Fuzzing Project의 Hanno Bock이 발견했으며 CVE-2015-5722에 공개되었습니다. [RT # 40212]
특수하게 조작 된 쿼리로 인해 message.c에 어설 션 오류가 발생할 수 있습니다. 이 결함은 Jonathan Foote에 의해 발견되었으며 CVE-2015-5477에 공개되었습니다. [RT # 40046]
DNSSEC 유효성 검사를 수행하도록 구성된 서버에서는 특수하게 구성된 서버의 응답에 어설 션 오류가 발생할 수 있습니다. 이 결함은 Breno Silveira Soares가 발견했으며 CVE-2015-4620에 공개되었습니다. [RT # 39795]
새로운 기능 :재귀 적 확인자가 서비스 거부 공격을받는 권한있는 서버로 보내는 쿼리를 제한하기 위해 새로운 할당량이 추가되었습니다. 이러한 옵션을 구성하면 권한있는 서버에 대한 피해를 줄일 수 있으며 이러한 공격의 수단으로 사용될 때 재귀가 경험할 수있는 리소스 고갈을 피할 수 있습니다. 참고 :이 옵션은 기본적으로 사용할 수 없습니다. configure에 --enable-fetchlimit을 사용하여 빌드에 포함시킵니다. + 서버 당 페치 (fetches-per-server)는 단일 신뢰할 수있는 서버로 보낼 수있는 동시 쿼리 수를 제한합니다. 구성된 값은 시작점입니다. 서버가 부분적으로 또는 완전히 응답하지 않으면 자동으로 아래쪽으로 조정됩니다. 할당량을 조정하는 데 사용되는 알고리즘은 fetch-quota-params 옵션을 통해 구성 할 수 있습니다. + 영역 당 페치 (fetches-per-zone)는 단일 도메인 내의 이름에 대해 보낼 수있는 동시 질의 수를 제한합니다. (참고 : "서버 당 페치"와 달리이 값은 자체 조정이 아닙니다.) 이러한 쿼터의 영향을받는 쿼리 수를 추적하기 위해 통계 카운터가 추가되었습니다.
이제 dig + ednsflags를 사용하여 DNS 요청에서 아직 정의되지 않은 EDNS 플래그를 설정할 수 있습니다.dig + [no] ednsnegotiation을 사용하여 EDNS 버전 협상을 활성화 / 비활성화 할 수 있습니다.
--enable-querytrace configure 스위치를 사용하여 매우 자세한 쿼리 tracelogging을 사용할 수 있습니다. 이 옵션은 컴파일시에만 설정할 수 있습니다. 이 옵션은 성능에 부정적인 영향을 주며 디버깅에만 사용해야합니다.
기능 변경 :
큰 인라인 서명 변경은 덜 파괴적이어야합니다. 이제 서명 생성은 점진적으로 수행됩니다. 각 퀀텀에서 생성 될 시그니처의 수는 "시그니처 서명 번호"에 의해 제어됩니다. [RT # 37927]
실험용 SIT 확장은 이제 EDNS COOKIE 옵션 코드 포인트 (10)를 사용하고 "COOKIE :"로 표시됩니다. 기존의 named.conf 지시어. "request-sit", "sit-secret"및 "nosit-udp-size"는 여전히 유효하며 BIND 9.11에서 "send-cookie", "cookie-secret"및 "nocookie-udp-size"로 대체됩니다 . 기존의 dig 지시문 "+ sit"은 여전히 유효하며 BIND 9.11에서 "+ cookie"로 대체됩니다.
첫 번째 응답이 잘 리므로 TCP를 통해 쿼리를 다시 시도 할 때 dig는 이전 응답에서 서버가 반환 한 COOKIE 값을 올바르게 보냅니다. [RT # 39047]Linux의 net.ipv4.ip_local_port_range에서 로컬 포트 범위를 검색하는 기능이 지원됩니다.
gc._msdcs 형식의 Active Directory 이름입니다. check-names 옵션을 사용할 때 유효한 호스트 이름으로 허용됩니다. 여전히 문자, 숫자 및 하이픈으로 제한됩니다.
리치 텍스트가 포함 된 이름은 이제 RFC 6763에 지정된대로 DNS-SD 역방향 조회 영역의 PTR 레코드에서 유효한 호스트 이름으로 허용됩니다. [RT # 37889]
버그 수정:
영역로드가 이미 진행 중일 때 비동기 영역로드가 올바르게 처리되지 않았습니다. 이것은 zt.c에서 충돌을 일으킬 수 있습니다. [RT # 37573]
종료 또는 재구성 중에 경쟁이 발생하면 mem.c에 어설 션 오류가 발생할 수 있습니다. [RT # 38979]
일부 응답 형식 옵션은 dig + short로 올바르게 작동하지 않았습니다. [RT # 39291]
NSAP 및 UNSPEC을 포함한 일부 형식의 형식이 잘못된 레코드는 텍스트 영역 파일을로드 할 때 어설 션 오류를 유발할 수 있습니다. [RT # 40274] [RT # 40285]
잘못된 속도 제한 기 대기열에서 NOTIFY 메시지가 제거되어 ratelimiter.c의 충돌이 해결되었습니다. [RT # 40350]
random의 기본 rrset-order가 일관성없이 적용되었습니다. [RT # 40456]손상된 권위있는 이름 서버의 BADVERS 응답이 올바르게 처리되지 않았습니다. [RT # 40427]RPZ 구현에서 몇 가지 버그가 수정되었습니다. + 특별히 재귀를 필요로하지 않는 정책 영역은 마치 그 것처럼 처리 될 수 있습니다. 따라서 qname-wait-recurse no를 설정하십시오. 때때로 효과가 없었다. 이 문제가 해결되었습니다. 대부분의 구성에서이 수정으로 인한 동작 변경은 눈에 띄지 않습니다. [RT # 39229] + RPZ 처리가 진행중인 쿼리에 대해 정책 영역이 업데이트되면 (예 : rndc reload 또는 들어오는 영역 전송을 통해) 서버가 중단 될 수 있습니다. [RT # 39415] + 하나 이상의 정책 영역이 슬레이브로 구성된 서버에서 AXFR을 통해 전체 영역을 다시로드 할 때 정책 영역이 시작될 때가 아닌 일반 작업 중에 업데이트되면 버그로 인해 RPZ 요약이 허용 될 수 있습니다 데이터가 동기화되지 않아 잠재적으로 IXFR을 통해 영역을 점진적으로 업데이트 할 때 rpz.c에서 어설 션 오류가 발생할 수 있습니다. [RT # 39567] + 서버가 CLIENT-IP 정책 트리거에서 사용 가능한 것보다 짧은 접두어와 일치 할 수 있으므로 예기치 않은 작업이 수행 될 수 있습니다. 이 문제가 해결되었습니다. [RT # 39481] + 같은 영역의 다른 재 장전이 이미 진행 중일 때 RPZ 영역의 재로드가 시작되면 서버가 중단 될 수 있습니다.
[RT # 39649] + 와일드 카드 레코드가있는 경우 쿼리 이름이 잘못된 정책 영역과 일치 할 수 있습니다. [RT # 40357]
9.10.4-P3 버전의 새로운 기능 :
보안 수정 사항 :OPENPGPKEY rdatatype의 잘못된 경계 검사로 인해 어설 션 오류가 발생할 수 있습니다. 이 결함은 CVE-2015-5986에수록되어 있습니다. [RT # 40286]
버퍼 어카운팅 오류는 특정의 잘못된 DNSSEC 키를 구문 분석 할 때 어설 션 오류를 유발할 수 있습니다. 이 결함은 Fuzzing Project의 Hanno Bock이 발견했으며 CVE-2015-5722에 공개되었습니다. [RT # 40212]
특수하게 조작 된 쿼리로 인해 message.c에 어설 션 오류가 발생할 수 있습니다. 이 결함은 Jonathan Foote에 의해 발견되었으며 CVE-2015-5477에 공개되었습니다. [RT # 40046]
DNSSEC 유효성 검사를 수행하도록 구성된 서버에서는 특수하게 구성된 서버의 응답에 어설 션 오류가 발생할 수 있습니다. 이 결함은 Breno Silveira Soares가 발견했으며 CVE-2015-4620에 공개되었습니다. [RT # 39795]
새로운 기능 :재귀 적 확인자가 서비스 거부 공격을받는 권한있는 서버로 보내는 쿼리를 제한하기 위해 새로운 할당량이 추가되었습니다. 이러한 옵션을 구성하면 권한있는 서버에 대한 피해를 줄일 수 있으며 이러한 공격의 수단으로 사용될 때 재귀가 경험할 수있는 리소스 고갈을 피할 수 있습니다. 참고 :이 옵션은 기본적으로 사용할 수 없습니다. configure에 --enable-fetchlimit을 사용하여 빌드에 포함시킵니다. + 서버 당 페치 (fetches-per-server)는 단일 신뢰할 수있는 서버로 보낼 수있는 동시 쿼리 수를 제한합니다. 구성된 값은 시작점입니다. 서버가 부분적으로 또는 완전히 응답하지 않으면 자동으로 아래쪽으로 조정됩니다. 할당량을 조정하는 데 사용되는 알고리즘은 fetch-quota-params 옵션을 통해 구성 할 수 있습니다. + 영역 당 페치 (fetches-per-zone)는 단일 도메인 내의 이름에 대해 보낼 수있는 동시 질의 수를 제한합니다. (참고 : "서버 당 페치"와 달리이 값은 자체 조정이 아닙니다.) 이러한 쿼터의 영향을받는 쿼리 수를 추적하기 위해 통계 카운터가 추가되었습니다.
이제 dig + ednsflags를 사용하여 DNS 요청에서 아직 정의되지 않은 EDNS 플래그를 설정할 수 있습니다.dig + [no] ednsnegotiation을 사용하여 EDNS 버전 협상을 활성화 / 비활성화 할 수 있습니다.
--enable-querytrace configure 스위치를 사용하여 매우 자세한 쿼리 tracelogging을 사용할 수 있습니다. 이 옵션은 컴파일시에만 설정할 수 있습니다. 이 옵션은 성능에 부정적인 영향을 주며 디버깅에만 사용해야합니다.
기능 변경 :
큰 인라인 서명 변경은 덜 파괴적이어야합니다. 이제 서명 생성은 점진적으로 수행됩니다. 각 퀀텀에서 생성 될 시그니처의 수는 "시그니처 서명 번호"에 의해 제어됩니다. [RT # 37927]
실험용 SIT 확장은 이제 EDNS COOKIE 옵션 코드 포인트 (10)를 사용하고 "COOKIE :"로 표시됩니다. 기존의 named.conf 지시어. "request-sit", "sit-secret"및 "nosit-udp-size"는 여전히 유효하며 BIND 9.11에서 "send-cookie", "cookie-secret"및 "nocookie-udp-size"로 대체됩니다 . 기존의 dig 지시문 "+ sit"은 여전히 유효하며 BIND 9.11에서 "+ cookie"로 대체됩니다.
첫 번째 응답이 잘 리므로 TCP를 통해 쿼리를 다시 시도 할 때 dig는 이전 응답에서 서버가 반환 한 COOKIE 값을 올바르게 보냅니다. [RT # 39047]Linux의 net.ipv4.ip_local_port_range에서 로컬 포트 범위를 검색하는 기능이 지원됩니다.
gc._msdcs 형식의 Active Directory 이름입니다. check-names 옵션을 사용할 때 유효한 호스트 이름으로 허용됩니다. 여전히 문자, 숫자 및 하이픈으로 제한됩니다.
리치 텍스트가 포함 된 이름은 이제 RFC 6763에 지정된대로 DNS-SD 역방향 조회 영역의 PTR 레코드에서 유효한 호스트 이름으로 허용됩니다. [RT # 37889]
버그 수정:
영역로드가 이미 진행 중일 때 비동기 영역로드가 올바르게 처리되지 않았습니다. 이것은 zt.c에서 충돌을 일으킬 수 있습니다. [RT # 37573]
종료 또는 재구성 중에 경쟁이 발생하면 mem.c에 어설 션 오류가 발생할 수 있습니다. [RT # 38979]
일부 응답 형식 옵션은 dig + short로 올바르게 작동하지 않았습니다. [RT # 39291]
NSAP 및 UNSPEC을 포함한 일부 형식의 형식이 잘못된 레코드는 텍스트 영역 파일을로드 할 때 어설 션 오류를 유발할 수 있습니다. [RT # 40274] [RT # 40285]
잘못된 속도 제한 기 대기열에서 NOTIFY 메시지가 제거되어 ratelimiter.c의 충돌이 해결되었습니다. [RT # 40350]
random의 기본 rrset-order가 일관성없이 적용되었습니다. [RT # 40456]손상된 권위있는 이름 서버의 BADVERS 응답이 올바르게 처리되지 않았습니다. [RT # 40427]RPZ 구현에서 몇 가지 버그가 수정되었습니다. + 특별히 재귀를 필요로하지 않는 정책 영역은 마치 그 것처럼 처리 될 수 있습니다. 따라서 qname-wait-recurse no를 설정하십시오. 때때로 효과가 없었다. 이 문제가 해결되었습니다. 대부분의 구성에서이 수정으로 인한 동작 변경은 눈에 띄지 않습니다. [RT # 39229] + RPZ 처리가 진행중인 쿼리에 대해 정책 영역이 업데이트되면 (예 : rndc reload 또는 들어오는 영역 전송을 통해) 서버가 중단 될 수 있습니다. [RT # 39415] + 하나 이상의 정책 영역이 슬레이브로 구성된 서버에서 AXFR을 통해 전체 영역을 다시로드 할 때 정책 영역이 시작될 때가 아닌 일반 작업 중에 업데이트되면 버그로 인해 RPZ 요약이 허용 될 수 있습니다 데이터가 동기화되지 않아 잠재적으로 IXFR을 통해 영역을 점진적으로 업데이트 할 때 rpz.c에서 어설 션 오류가 발생할 수 있습니다. [RT # 39567] + 서버가 CLIENT-IP 정책 트리거에서 사용 가능한 것보다 짧은 접두어와 일치 할 수 있으므로 예기치 않은 작업이 수행 될 수 있습니다. 이 문제가 해결되었습니다. [RT # 39481] + 같은 영역의 다른 재 장전이 이미 진행 중일 때 RPZ 영역의 재로드가 시작되면 서버가 중단 될 수 있습니다.[RT # 39649] + 와일드 카드 레코드가있는 경우 쿼리 이름이 잘못된 정책 영역과 일치 할 수 있습니다. [RT # 40357]
댓글을 찾을 수 없습니다