corrigerende updates voor stabiele DNS-servertakken , evenals de momenteel in ontwikkeling zijnde experimentele tak 9.15.2. De nieuwe releases pakken een race condition-kwetsbaarheid (CVE-2019-6471) aan die kan leiden tot een denial of service (procesbeëindiging wanneer assert wordt geactiveerd) wanneer een groot aantal inkomende pakketten wordt geblokkeerd.
Bovendien voegt de nieuwe versie 9.14.4 ondersteuning toe voor de GeoIP2 API voor het verbinden van een locatiedatabase op basis van IP-adressen van het bedrijf
MaxMind (mogelijk gemaakt via build met de optie “--with-geoip2”). GeoIP2 ondersteunt niet langer bepaalde ACL's (zoals netwerksnelheid, organisatie en landcode) die voorheen werden ondersteund voor de oude GeoIP API, die niet langer wordt onderhouden door MaxMind. Er zijn ook nieuwe statistieken dnssec-sign en dnssec-refresh toegevoegd met tellers voor het aantal gegenereerde en bijgewerkte DNSSEC-handtekeningen.
Bovendien kan worden opgemerkt DNS-server Knot 2.8.3, die een certificaat/sleutelconfiguratiebestand voor TLS aan kdig heeft toegevoegd, de informatie-inhoud van logboekinvoer voor offline-KSK-handtekeningen en de RRL-module heeft uitgebreid, en de DNSSEC-configuratiecontroles heeft uitgebreid.
De Knot Resolver 4.1.0-update werd ook uitgebracht, waardoor deze werd geëlimineerd (CVE-2019-10190, CVE-2019-10191): Mogelijkheid om DNSSEC-controles op ontbrekende naamquery's te omzeilen (NXDOMAIN) en de mogelijkheid om een met DNSSEC beveiligd domein terug te draaien naar een onbeschermde DNSSEC-status via pakketspoofing.
Bron: opennet.ru