Sono stati pubblicati aggiornamenti correttivi ai rami stabili del server DNS BIND 9.16.28 e 9.18.3, nonché una nuova release del ramo sperimentale 9.19.1. Nelle versioni 9.18.3 e 9.19.1 è stata corretta una vulnerabilità (CVE-2022-1183) nell'implementazione del meccanismo DNS-over-HTTPS, supportato dalla versione 9.18. La vulnerabilità provoca l'arresto anomalo del processo denominato se la connessione TLS a un gestore basato su HTTP viene interrotta prematuramente. Il problema riguarda solo i server che servono richieste DNS su HTTPS (DoH). I server che accettano query DNS su TLS (DoT) e non utilizzano DoH non sono interessati da questo problema.
La versione 9.18.3 aggiunge anche diversi miglioramenti funzionali. Aggiunto il supporto per la seconda versione delle zone del catalogo (“Catalog Zones”), definita nella quinta bozza della specifica IETF. Directory di zona offre un nuovo metodo di gestione dei server DNS secondari in cui, invece di definire record separati per ciascuna zona secondaria sul server secondario, un insieme specifico di zone secondarie viene trasferito tra i server primario e secondario. Quelli. Impostando un trasferimento di directory simile al trasferimento di singole zone, le zone create sul server primario e contrassegnate come incluse nella directory verranno create automaticamente sul server secondario senza la necessità di modificare i file di configurazione.
La nuova versione aggiunge anche il supporto per i codici di errore estesi "Stale Answer" e "Stale NXDOMAIN Answer", emessi quando viene restituita una risposta obsoleta dalla cache. Named e Dig dispongono di una verifica integrata dei certificati TLS esterni, che possono essere utilizzati per implementare un'autenticazione forte o cooperativa basata su TLS (RFC 9103).
Fonte: opennet.ru