Korrekturaktualisierungen für die stabilen Zweige des BIND-DNS-Servers 9.16.28 und 9.18.3 sowie eine neue Version des experimentellen Zweigs 9.19.1 wurden veröffentlicht. In den Versionen 9.18.3 und 9.19.1 wurde eine Schwachstelle (CVE-2022-1183) in der Implementierung des seit Zweig 9.18 unterstützten DNS-over-HTTPS-Mechanismus behoben. Die Sicherheitslücke führt zum Absturz des genannten Prozesses, wenn die TLS-Verbindung zu einem HTTP-basierten Handler vorzeitig beendet wird. Das Problem betrifft nur Server, die DNS-über-HTTPS-Anfragen (DoH) verarbeiten. Server, die DNS-über-TLS-Anfragen (DoT) akzeptieren und DoH nicht verwenden, sind von diesem Problem nicht betroffen.
Release 9.18.3 fügt außerdem mehrere funktionale Verbesserungen hinzu. Unterstützung für die zweite Version der Katalogzonen („Katalogzonen“) hinzugefügt, die im fünften Entwurf der IETF-Spezifikation definiert sind. Zone Directory bietet eine neue Methode zur Verwaltung sekundärer DNS-Server, bei der anstelle der Definition separater Datensätze für jede sekundäre Zone auf dem sekundären Server ein bestimmter Satz sekundärer Zonen zwischen dem primären und sekundären Server übertragen wird. Diese. Durch die Einrichtung einer Verzeichnisübertragung ähnlich der Übertragung einzelner Zonen werden auf dem Primärserver erstellte und als im Verzeichnis enthalten markierte Zonen automatisch auf dem Sekundärserver erstellt, ohne dass Konfigurationsdateien bearbeitet werden müssen.
Die neue Version bietet außerdem Unterstützung für erweiterte Fehlercodes „Stale Answer“ und „Stale NXDOMAIN Answer“, die ausgegeben werden, wenn eine veraltete Antwort aus dem Cache zurückgegeben wird. Named und Dig verfügen über eine integrierte Überprüfung externer TLS-Zertifikate, die zur Implementierung einer starken oder kooperativen Authentifizierung auf Basis von TLS (RFC 9103) verwendet werden kann.
Source: opennet.ru