Актуализиране на BIND DNS сървъра, за да се елиминира уязвимост в изпълнението на DNS-over-HTTPS

Публикувани са коригиращи актуализации на стабилните клонове на BIND DNS сървъра 9.16.28 и 9.18.3, както и нова версия на експерименталния клон 9.19.1. Във версии 9.18.3 и 9.19.1 е коригирана уязвимост (CVE-2022-1183) в прилагането на механизма DNS-over-HTTPS, поддържан от клон 9.18. Уязвимостта причинява срив на посочения процес, ако TLS връзката към HTTP-базиран манипулатор бъде прекратена преждевременно. Проблемът засяга само сървъри, които обслужват DNS през HTTPS (DoH) заявки. Сървърите, които приемат DNS през TLS (DoT) заявки и не използват DoH, не са засегнати от този проблем.

Версия 9.18.3 също добавя няколко функционални подобрения. Добавена е поддръжка за втората версия на каталожните зони („Каталожни зони“), дефинирани в петия проект на спецификацията на IETF. Zone Directory предлага нов метод за поддържане на вторични DNS сървъри, при който вместо да се дефинират отделни записи за всяка вторична зона на вторичния сървър, определен набор от вторични зони се прехвърля между първичния и вторичния сървър. Тези. Чрез настройване на прехвърляне на директория, подобно на прехвърлянето на отделни зони, зоните, създадени на основния сървър и маркирани като включени в директорията, ще бъдат автоматично създадени на вторичния сървър, без да е необходимо да редактирате конфигурационни файлове.

Новата версия също така добавя поддръжка за разширени кодове за грешка „Stale Answer“ и „Stale NXDOMAIN Answer“, издавани, когато от кеша се върне остарял отговор. named и dig имат вградена проверка на външни TLS сертификати, които могат да се използват за прилагане на силно или кооперативно удостоверяване, базирано на TLS (RFC 9103).

Източник: opennet.ru