Publicáronse actualizacións correctoras das ramas estables do servidor BIND DNS 9.16.28 e 9.18.3, así como unha nova versión da rama experimental 9.19.1. Nas versións 9.18.3 e 9.19.1, solucionouse unha vulnerabilidade (CVE-2022-1183) na implementación do mecanismo DNS-over-HTTPS, compatible desde a rama 9.18. A vulnerabilidade fai que o proceso nomeado falle se a conexión TLS a un controlador baseado en HTTP finaliza antes de tempo. O problema só afecta aos servidores que serven solicitudes de DNS a través de HTTPS (DoH). Os servidores que aceptan consultas DNS sobre TLS (DoT) e que non usan DoH non se ven afectados por este problema.
A versión 9.18.3 tamén engade varias melloras funcionais. Engadido soporte para a segunda versión das zonas de catálogo ("Zonas de catálogo"), definidas no quinto borrador da especificación IETF. Zone Directory ofrece un novo método para manter servidores DNS secundarios no que, en lugar de definir rexistros separados para cada zona secundaria no servidor secundario, transfírese un conxunto específico de zonas secundarias entre os servidores primario e secundario. Eses. Ao configurar unha transferencia de directorio similar á transferencia de zonas individuais, as zonas creadas no servidor principal e marcadas como incluídas no directorio crearanse automaticamente no servidor secundario sen necesidade de editar ficheiros de configuración.
A nova versión tamén engade soporte para códigos de erro "Stale Answer" e "Stale NXDOMAIN Answer" estendidos, emitidos cando se devolve unha resposta obsoleta desde a caché. named e dig teñen unha verificación integrada de certificados TLS externos, que se poden usar para implementar a autenticación forte ou cooperativa baseada en TLS (RFC 9103).
Fonte: opennet.ru