Актуализиране на DNS сървъри BIND 9.14.4 и Knot 2.8.3

Публикувано коригиращи актуализации на стабилните клонове на DNS сървъра BIND 9.14.4 и 9.11.9, както и експерименталния клон 9.15.2, който е в процес на разработка. По-новите издания разрешават уязвимост в състояние на състезание (CVE-2019-6471), която може да доведе до отказ на услуга (прекратяване на процес, когато се задейства твърдение), когато се блокира голям брой входящи пакети.

В допълнение, новата версия 9.14.4 добавя поддръжка за GeoIP2 API за свързване на базата данни за местоположение чрез IP адреси от компанията
MaxMind (активиран чрез изграждане с опция „--with-geoip2“). Някои ACL (като скорост на мрежата, организация и код на държавата), които преди това бяха поддържани за стария GeoIP API, който вече не се поддържа от MaxMind, са отхвърлени за GeoIP2. Добавени са и нови показатели dnssec-sign и dnssec-refresh с броячи за броя на генерираните и актуализирани DNSSEC подписи.

Освен това може да се отбележи издаване DNS сървър Knot 2.8.3, който добави конфигурационен файл на сертификат/ключ за TLS към kdig, увеличи информационното съдържание на записите в журнала за офлайн-KSK подписи и RRL модула, разшири проверките за конфигурация на DNSSEC.

Също така беше пусната актуализацията на Knot Resolver 4.1.0, която елиминира две уязвимости (CVE-2019-10190, CVE-2019-10191): Възможност за заобикаляне на валидирането на DNSSEC за заявки за липсващи имена (NXDOMAIN) и възможност за връщане назад на домейн, защитен с DNSSEC, до несигурно състояние на DNSSEC чрез подправяне на пакети.

Източник: opennet.ru