Er zijn corrigerende updates voor de stabiele takken van de BIND DNS-server 9.16.28 en 9.18.3 gepubliceerd, evenals een nieuwe release van de experimentele tak 9.19.1. In versies 9.18.3 en 9.19.1 is een kwetsbaarheid (CVE-2022-1183) in de implementatie van het DNS-over-HTTPS-mechanisme, ondersteund sinds branch 9.18, opgelost. Het beveiligingslek zorgt ervoor dat het genoemde proces crasht als de TLS-verbinding met een op HTTP gebaseerde handler voortijdig wordt beëindigd. Het probleem heeft alleen betrekking op servers die DNS via HTTPS (DoH)-verzoeken verwerken. Servers die DNS via TLS (DoT)-query's accepteren en geen DoH gebruiken, hebben geen last van dit probleem.
Release 9.18.3 voegt ook verschillende functionele verbeteringen toe. Ondersteuning toegevoegd voor de tweede versie van de cataloguszones (“Catalog Zones”), gedefinieerd in het vijfde concept van de IETF-specificatie. Zone Directory biedt een nieuwe methode voor het onderhouden van secundaire DNS-servers waarbij, in plaats van afzonderlijke records te definiëren voor elke secundaire zone op de secundaire server, een specifieke set secundaire zones wordt overgedragen tussen de primaire en secundaire servers. Die. Door een mapoverdracht in te stellen die vergelijkbaar is met de overdracht van individuele zones, worden zones die op de primaire server zijn gemaakt en gemarkeerd als opgenomen in de map, automatisch aangemaakt op de secundaire server zonder dat configuratiebestanden hoeven te worden bewerkt.
De nieuwe versie voegt ook ondersteuning toe voor uitgebreide foutcodes "Stale Answer" en "Stale NXDOMAIN Answer", die verschijnen wanneer een verouderd antwoord uit de cache wordt geretourneerd. Named en dig hebben ingebouwde verificatie van externe TLS-certificaten, die kunnen worden gebruikt om sterke of coöperatieve authenticatie op basis van TLS te implementeren (RFC 9103).
Bron: opennet.ru