Korrekturaktualisierungen der stabilen Zweige des DNS-Servers sowie der experimentelle Zweig 9.15.2, der sich in der Entwicklung befindet. Neuere Versionen beheben eine Race-Condition-Schwachstelle (CVE-2019-6471), die beim Blockieren einer großen Anzahl eingehender Pakete zu einem Denial-of-Service (Beenden eines Prozesses, wenn ein Assert ausgelöst wird) führen kann.
Darüber hinaus bietet die neue Version 9.14.4 Unterstützung für die GeoIP2-API, um die Standortdatenbank über IP-Adressen des Unternehmens zu verbinden
MaxMind (aktiviert über Build mit der Option „--with-geoip2“). Einige ACLs (z. B. Netzwerkgeschwindigkeit, Organisation und Ländercode), die zuvor für die alte GeoIP-API unterstützt wurden, die nicht mehr von MaxMind verwaltet wird, sind für GeoIP2 veraltet. Außerdem wurden die neuen Metriken dnssec-sign und dnssec-refresh mit Zählern für die Anzahl der generierten und aktualisierten DNSSEC-Signaturen hinzugefügt.
Darüber hinaus kann darauf hingewiesen werden Der DNS-Server Knot 2.8.3, der kdig eine Zertifikats-/Schlüsselkonfigurationsdatei für TLS hinzufügte, erhöhte den Informationsgehalt von Protokolleinträgen für Offline-KSK-Signaturen und das RRL-Modul erweiterte DNSSEC-Konfigurationsprüfungen.
Außerdem wurde das Knot Resolver 4.1.0-Update veröffentlicht, das beseitigte (CVE-2019-10190, CVE-2019-10191): Möglichkeit, die DNSSEC-Validierung für fehlende Namensabfragen (NXDOMAIN) zu umgehen und eine DNSSEC-geschützte Domäne über Paket-Spoofing in einen unsicheren DNSSEC-Status zurückzusetzen.
Source: opennet.ru