การอัปเดตการแก้ไขสาขาที่เสถียรของเซิร์ฟเวอร์ BIND DNS 9.16.28 และ 9.18.3 ได้รับการเผยแพร่แล้ว เช่นเดียวกับการเปิดตัวสาขาทดลองใหม่ 9.19.1 ในเวอร์ชัน 9.18.3 และ 9.19.1 ช่องโหว่ (CVE-2022-1183) ในการใช้กลไก DNS-over-HTTPS ที่ได้รับการสนับสนุนตั้งแต่สาขา 9.18 ได้รับการแก้ไขแล้ว ช่องโหว่ทำให้กระบวนการที่กำหนดชื่อเสียหายถ้าการเชื่อมต่อ TLS ไปยังตัวจัดการที่ใช้ HTTP ถูกยกเลิกก่อนเวลาอันควร ปัญหานี้มีผลกับเซิร์ฟเวอร์ที่ให้บริการคำขอ DNS ผ่าน HTTPS (DoH) เท่านั้น เซิร์ฟเวอร์ที่ยอมรับ DNS ผ่านแบบสอบถาม TLS (DoT) และไม่ได้ใช้ DoH จะไม่ได้รับผลกระทบจากปัญหานี้
รีลีส 9.18.3 ยังเพิ่มการปรับปรุงการทำงานหลายอย่างอีกด้วย เพิ่มการรองรับเวอร์ชันที่สองของโซนแค็ตตาล็อก (“โซนแค็ตตาล็อก”) ที่กำหนดไว้ในร่างที่ห้าของข้อกำหนด IETF Zone Directory เสนอวิธีการใหม่ในการรักษาเซิร์ฟเวอร์ DNS รอง โดยแทนที่จะกำหนดบันทึกแยกกันสำหรับแต่ละโซนรองบนเซิร์ฟเวอร์รอง ชุดของโซนรองเฉพาะจะถูกถ่ายโอนระหว่างเซิร์ฟเวอร์หลักและเซิร์ฟเวอร์รอง เหล่านั้น. ด้วยการตั้งค่าการถ่ายโอนไดเร็กทอรีที่คล้ายกับการถ่ายโอนแต่ละโซน โซนที่สร้างบนเซิร์ฟเวอร์หลักและทำเครื่องหมายว่ารวมอยู่ในไดเร็กทอรีจะถูกสร้างขึ้นโดยอัตโนมัติบนเซิร์ฟเวอร์รองโดยไม่จำเป็นต้องแก้ไขไฟล์การกำหนดค่า
เวอร์ชันใหม่ยังเพิ่มการรองรับรหัสข้อผิดพลาด "Stale Answer" และ "Stale NXDOMAIN Answer" แบบขยาย ซึ่งออกเมื่อมีการส่งคืนคำตอบเก่าจากแคช ชื่อและขุดมีการตรวจสอบใบรับรอง TLS ภายนอกในตัว ซึ่งสามารถใช้เพื่อดำเนินการตรวจสอบความถูกต้องแบบเข้มงวดหรือแบบร่วมมือตาม TLS (RFC 9103)
ที่มา: opennet.ru