Ажурирање на BIND DNS-серверот за елиминирање на ранливоста во имплементацијата DNS-over-HTTPS

Објавени се корективни ажурирања на стабилните гранки на BIND DNS серверот 9.16.28 и 9.18.3, како и ново издание на експерименталната гранка 9.19.1. Во верзиите 9.18.3 и 9.19.1, поправена е ранливост (CVE-2022-1183) во имплементацијата на механизмот DNS-over-HTTPS, поддржан од гранката 9.18. Ранливоста предизвикува паѓање на именуваниот процес ако TLS-врската со управувач базиран на HTTP е предвреме прекината. Проблемот влијае само на серверите кои опслужуваат DNS преку HTTPS (DoH) барања. Серверите што прифаќаат барања за DNS преку TLS (DoT) и не користат DoH не се засегнати од ова прашање.

Изданието 9.18.3 исто така додава неколку функционални подобрувања. Додадена е поддршка за втората верзија на зоните на каталогот („Каталошки зони“), дефинирана во петтиот нацрт на спецификацијата на IETF. Zone Directory нуди нов метод за одржување на секундарни DNS сервери во кои, наместо да се дефинираат посебни записи за секоја секундарна зона на секундарниот сервер, одреден сет на секундарни зони се пренесуваат помеѓу примарните и секундарните сервери. Оние. Со поставување на пренос на директориум сличен на преносот на поединечни зони, зоните креирани на примарниот сервер и означени како вклучени во директориумот автоматски ќе се креираат на секундарниот сервер без потреба од уредување на конфигурациските датотеки.

Новата верзија, исто така, додава поддршка за проширените кодови за грешка „Стале одговор“ и „Стале NXDOMAIN одговор“, кои се издаваат кога ќе се врати застарен одговор од кешот. именувани и копаат имаат вградена верификација на надворешни TLS сертификати, кои може да се користат за спроведување силна или кооперативна автентикација базирана на TLS (RFC 9103).

Извор: opennet.ru