Обновление DNS-серверов BIND 9.14.4 и Knot 2.8.3

Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.14.4 и 9.11.9, а также находящейся в разработке экспериментальной ветки 9.15.2. В новых выпусках устранена уязвимость (CVE-2019-6471), вызванная состоянием гонки и способная привести к отказу в обслуживании (завершение процесса при срабатывании assert) при блокировании большого числа входящих пакетов.

Кроме того в новой версии 9.14.4 добавлена поддержка API GeoIP2 для подключения базы определения местоположения по IP-адресам от компании
MaxMind (включается через сборку с опцией «—with-geoip2»). Для GeoIP2 прекращена поддержка некоторых ACL (например, проверка по параметрам скорости сети, организации и коду страны), ранее поддерживаемых для старого API GeoIP, сопровождение которого больше не производится компанией MaxMind. Также добавлены новые метрики dnssec-sign и dnssec-refresh со счётчиками числа сформированных и обновлённых подписей DNSSEC.

Дополнительно можно отметить выпуск DNS-сервера Knot 2.8.3, в котором добавлен файл конфигурации сертификата/ключа для TLS в kdig, повышена информативность записей в логах для offline-KSK подписей и модуля RRL, расширены проверки конфигурации DNSSEC.

Также вышло обновление Knot Resolver 4.1.0, в котором устранены две уязвимости (CVE-2019-10190, CVE-2019-10191): возможность обойти проверку DNSSEC для запросов отсутствующих имён (NXDOMAIN) и возможность откатить защищённый через DNSSEC домен до состояния незащищённого DNSSEC через спуфинг пакетов.

Источник: opennet.ru