การปรับปรุงแก้ไขสาขาเซิร์ฟเวอร์ DNS ที่เสถียร เช่นเดียวกับสาขาทดลองที่อยู่ระหว่างการพัฒนา 9.15.2 รุ่นใหม่ระบุถึงช่องโหว่ของสภาวะการแข่งขัน (CVE-2019-6471) ที่อาจนำไปสู่การปฏิเสธการให้บริการ (การยกเลิกกระบวนการเมื่อมีการทริกเกอร์การยืนยัน) เมื่อมีการบล็อกแพ็กเก็ตขาเข้าจำนวนมาก
นอกจากนี้ เวอร์ชันใหม่ 9.14.4 ยังเพิ่มการรองรับ GeoIP2 API สำหรับการเชื่อมต่อฐานข้อมูลตำแหน่งตามที่อยู่ IP จากบริษัท
MaxMind (เปิดใช้งานผ่านบิลด์ด้วยตัวเลือก “--with-geoip2”) GeoIP2 ไม่รองรับ ACL บางตัวอีกต่อไป (เช่น ความเร็วเครือข่าย องค์กร และรหัสประเทศ) ซึ่งก่อนหน้านี้รองรับ GeoIP API เก่า ซึ่ง MaxMind ไม่ได้รับการดูแลอีกต่อไป นอกจากนี้ ยังมีการเพิ่มเมตริกใหม่ dnssec-sign และ dnssec-refresh พร้อมตัวนับจำนวนลายเซ็น DNSSEC ที่สร้างและอัปเดต
นอกจากนี้ยังสามารถสังเกตได้ เซิร์ฟเวอร์ DNS Knot 2.8.3 ซึ่งเพิ่มไฟล์การกำหนดค่าใบรับรอง/คีย์สำหรับ TLS ไปยัง kdig เพิ่มเนื้อหาข้อมูลของรายการบันทึกสำหรับลายเซ็น KSK แบบออฟไลน์และโมดูล RRL และขยายการตรวจสอบการกำหนดค่า DNSSEC
การอัปเดต Knot Resolver 4.1.0 ก็เปิดตัวเช่นกัน ซึ่งถูกตัดออกไปแล้ว (CVE-2019-10190, CVE-2019-10191): ความสามารถในการเลี่ยงผ่านการตรวจสอบ DNSSEC สำหรับการสืบค้นชื่อที่หายไป (NXDOMAIN) และความสามารถในการย้อนกลับโดเมนที่ได้รับการป้องกัน DNSSEC ให้เป็นสถานะ DNSSEC ที่ไม่ได้รับการป้องกันผ่านการปลอมแปลงแพ็กเก็ต
ที่มา: opennet.ru