Korrektur-Updates der stabilen DNS-Server-Zweige , sowie der sich in der Entwicklung befindenden experimentellen Version 9.15.2. In den neuen Veröffentlichungen wurde eine Schwachstelle (CVE-2019-6471) beseitigt, die durch einen Race-Condition verursacht wird und zu einem Dienstausfall (Prozessende bei Ausführung von assert) führen kann, wenn eine große Anzahl an eingehenden Paketen blockiert wird.
Darüber hinaus wurde in der neuen Version 9.14.4 die Unterstützung für die GeoIP2-API hinzugefügt, um eine Standortdatenbank anhand von IP-Adressen des Unternehmens
MaxMind (aktivierbar über die Konfiguration mit der Option „—with-geoip2“). Für GeoIP2 wurde die Unterstützung für bestimmte ACLs eingestellt (zum Beispiel die Überprüfung nach Netzwerkgeschwindigkeit, Organisation und Ländercode), die zuvor für die alte GeoIP-API unterstützt wurden, deren Wartung nicht mehr von MaxMind durchgeführt wird. Außerdem wurden neue Metriken dnssec-sign und dnssec-refresh mit Zählern für die Anzahl der erstellten und aktualisierten DNSSEC-Signaturen hinzugefügt.
speziellen Distribution DNS-Server Knot 2.8.3, in dem eine Konfigurationsdatei für das Zertifikat/den Schlüssel für TLS in kdig hinzugefügt wurde, die Informationsdichte in den Protokolldateien für offline-KSK-Signaturen und das RRL-Modul wurde erhöht, und die Überprüfungen der DNSSEC-Konfiguration wurden erweitert.
Es wurde auch ein Update für Knot Resolver 4.1.0 veröffentlicht, das (CVE-2019-10190, CVE-2019-10191): die Möglichkeit, die DNSSEC-Überprüfung für Anfragen an nicht vorhandene Namen (NXDOMAIN) zu umgehen, sowie die Möglichkeit, eine durch DNSSEC geschützte Domain durch Paket-Spoofing auf den Status einer ungeschützten DNSSEC-Domain zurückzusetzen.
Quelle: opennet.ru
