Se han publicado actualizaciones correctivas de las ramas estables del servidor DNS BIND 9.16.28 y 9.18.3, así como una nueva versión de la rama experimental 9.19.1. En las versiones 9.18.3 y 9.19.1 se solucionó una vulnerabilidad (CVE-2022-1183) en la implementación del mecanismo DNS-over-HTTPS, soportado desde la rama 9.18. La vulnerabilidad hace que el proceso nombrado falle si la conexión TLS a un controlador basado en HTTP finaliza prematuramente. El problema solo afecta a los servidores que atienden solicitudes DNS sobre HTTPS (DoH). Los servidores que aceptan consultas DNS sobre TLS (DoT) y no utilizan DoH no se ven afectados por este problema.
La versión 9.18.3 también agrega varias mejoras funcionales. Se agregó soporte para la segunda versión de las zonas del catálogo (“Zonas del catálogo”), definidas en el quinto borrador de la especificación IETF. Zone Directory ofrece un nuevo método para mantener servidores DNS secundarios en el que, en lugar de definir registros separados para cada zona secundaria en el servidor secundario, se transfiere un conjunto específico de zonas secundarias entre los servidores primario y secundario. Aquellos. Al configurar una transferencia de directorio similar a la transferencia de zonas individuales, las zonas creadas en el servidor primario y marcadas como incluidas en el directorio se crearán automáticamente en el servidor secundario sin necesidad de editar archivos de configuración.
La nueva versión también agrega soporte para los códigos de error extendidos "Respuesta obsoleta" y "Respuesta obsoleta de NXDOMAIN", que se emiten cuando se devuelve una respuesta obsoleta desde el caché. Named y dig tienen verificación incorporada de certificados TLS externos, que se pueden usar para implementar una autenticación sólida o cooperativa basada en TLS (RFC 9103).
Fuente: opennet.ru