mises à jour correctives des branches de serveur DNS stables , ainsi que la branche expérimentale 9.15.2, actuellement en cours de développement. Les nouvelles versions corrigent une vulnérabilité de condition de concurrence critique (CVE-2019-6471) qui peut conduire à un déni de service (arrêt du processus lorsque l'assertion est déclenchée) lorsqu'un grand nombre de paquets entrants sont bloqués.
De plus, la nouvelle version 9.14.4 ajoute la prise en charge de l'API GeoIP2 pour connecter une base de données de localisation basée sur les adresses IP de l'entreprise.
MaxMind (activé via build avec l'option « --with-geoip2 »). GeoIP2 ne prend plus en charge certaines ACL (telles que la vitesse du réseau, l'organisation et le code du pays) précédemment prises en charge pour l'ancienne API GeoIP, qui n'est plus gérée par MaxMind. De nouvelles métriques dnssec-sign et dnssec-refresh ont également été ajoutées avec des compteurs pour le nombre de signatures DNSSEC générées et mises à jour.
De plus, on peut noter Le serveur DNS Knot 2.8.3, qui a ajouté un fichier de configuration de certificat/clé pour TLS à kdig, a augmenté le contenu informatif des entrées de journal pour les signatures KSK hors ligne et le module RRL, et a étendu les contrôles de configuration DNSSEC.
La mise à jour Knot Resolver 4.1.0 a également été publiée, éliminant (CVE-2019-10190, CVE-2019-10191) : Possibilité de contourner les vérifications DNSSEC pour les requêtes de nom manquantes (NXDOMAIN) et possibilité de restaurer un domaine protégé par DNSSEC vers un état DNSSEC non protégé via l'usurpation de paquet.
Source: opennet.ru