корректирующие обновления стабильных веток DNS-сервера , а также находящейся в разработке экспериментальной ветки 9.15.2. В новых выпусках устранена уязвимость (CVE-2019-6471), вызванная состоянием гонки и способная привести к отказу в обслуживании (завершение процесса при срабатывании assert) при блокировании большого числа входящих пакетов.
Кроме того в новой версии 9.14.4 добавлена поддержка API GeoIP2 для подключения базы определения местоположения по IP-адресам от компании
MaxMind (включается через сборку с опцией «—with-geoip2»). Для GeoIP2 прекращена поддержка некоторых ACL (например, проверка по параметрам скорости сети, организации и коду страны), ранее поддерживаемых для старого API GeoIP, сопровождение которого больше не производится компанией MaxMind. Также добавлены новые метрики dnssec-sign и dnssec-refresh со счётчиками числа сформированных и обновлённых подписей DNSSEC.
Дополнительно можно отметить DNS-сервера Knot 2.8.3, в котором добавлен файл конфигурации сертификата/ключа для TLS в kdig, повышена информативность записей в логах для offline-KSK подписей и модуля RRL, расширены проверки конфигурации DNSSEC.
Также вышло обновление Knot Resolver 4.1.0, в котором устранены (CVE-2019-10190, CVE-2019-10191): возможность обойти проверку DNSSEC для запросов отсутствующих имён (NXDOMAIN) и возможность откатить защищённый через DNSSEC домен до состояния незащищённого DNSSEC через спуфинг пакетов.
Источник: opennet.ru