Aktualisierung des DNS-Servers BIND zur Behebung einer Schwachstelle in der Implementierung von DNS-over-HTTPS

Korrektur-Updates für die stabilen Versionen des DNS-Servers BIND 9.16.28 und 9.18.3 wurden veröffentlicht, ebenso wie eine neue Version der experimentellen Reihe 9.19.1. In den Versionen 9.18.3 und 9.19.1 wurde eine Sicherheitsanfälligkeit (CVE-2022-1183) in der Implementierung des DNS-over-HTTPS-Mechanismus behoben, der seit der Version 9.18 unterstützt wird. Diese Sicherheitsanfälligkeit kann dazu führen, dass der named-Prozess abstürzt, wenn die TLS-Verbindung zum HTTP-Handler vorzeitig abgebrochen wird. Dieses Problem betrifft nur Server, Server, die DNS-over-HTTPS (DoH) Anfragen bearbeiten. Server, die Anfragen über DNS-over-TLS (DoT) annehmen und DoH nicht verwenden, sind von diesem Problem nicht betroffen.

In der Version 9.18.3 wurden auch mehrere funktionale Verbesserungen hinzugefügt. Es wurde Unterstützung für die zweite Version des Zonen-Katalogs („Catalog Zones“) implementiert, die im fünften Entwurf der IETF-Spezifikation definiert ist. Der Zonen-Katalog bietet eine neue Methode zur Verwaltung sekundärer DNS-Server, bei der anstelle der Definition einzelner Einträge für jede sekundäre Zone auf dem sekundären Server ein bestimmter Satz sekundärer Zonen zwischen dem primären und dem sekundären Server übergeben wird. Das heißt, durch das Einrichten des Katalogtransfers analog zur Übertragung einzelner Zonen werden die auf dem primären Server angelegten Zonen, die als zum Katalog gehörend markiert sind, automatisch auf dem sekundären Server erstellt, ohne dass eine Bearbeitung der Konfigurationsdateien erforderlich ist.

In der neuen Version wurde auch die Unterstützung für die erweiterten Fehlercodes „Stale Answer“ und „Stale NXDOMAIN Answer“ hinzugefügt, die ausgegeben werden, wenn eine veraltete Antwort aus dem Cache zurückgegeben wird. In named und dig wurde die Möglichkeit zur Überprüfung externer TLS-Zertifikaten, die für die Einrichtung einer strengen oder gemeinschaftlichen Authentifizierung auf Basis von TLS (RFC 9103) verwendet werden kann.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster