Les branches stables du serveur DNS BIND 9.16.28 et 9.18.3, ainsi qu'une nouvelle version de la branche expérimentale 9.19.1, ont été publiées. Les versions 9.18.3 et 9.19.1 corrigent une vulnérabilité (CVE-2022-1183) dans l'implémentation du mécanisme DNS-over-HTTPS, supporté depuis la branche 9.18. La vulnérabilité provoque le blocage du processus nommé si une connexion TLS à un gestionnaire HTTP est interrompue prématurément. Le problème affecte uniquement les serveurs servant des requêtes DNS sur HTTPS (DoH). Les serveurs qui acceptent les requêtes DNS sur TLS (DoT) et n'utilisent pas DoH ne sont pas affectés.
La version 9.18.3 inclut également plusieurs améliorations fonctionnelles. Ajout de la prise en charge de la deuxième version des zones de catalogue ("Zones de catalogue"), définies dans la cinquième version de la spécification IETF. Le catalogue de zones offre une nouvelle méthode de maintenance des serveurs DNS secondaires, dans laquelle au lieu de définir des enregistrements séparés pour chaque zone secondaire sur un serveur secondaire, un ensemble spécifique de zones secondaires est transféré entre les serveurs principal et secondaire. Ceux. En configurant un transfert de répertoire similaire aux transferts de zone, les zones créées sur le serveur principal qui sont marquées comme cataloguées seront automatiquement créées sur le serveur secondaire sans qu'il soit nécessaire de modifier les fichiers de configuration.
La nouvelle version ajoute également la prise en charge des codes d'erreur étendus "Stale Answer" et "Stale NXDOMAIN Answer" émis lorsqu'une réponse obsolète est renvoyée du cache. named et dig ont une capacité intégrée pour vérifier les certificats TLS externes, qui peuvent être utilisés pour implémenter une authentification forte ou partagée basée sur TLS (RFC 9103).
Source: opennet.ru