Опубліковано коригуючі оновлення стабільних гілок DNS-сервера BIND 9.16.28 та 9.18.3, а також новий випуск експериментальної гілки 9.19.1. У версіях 9.18.3 та 9.19.1 усунуто вразливість (CVE-2022-1183) у реалізації механізму DNS-over-HTTPS, що підтримується починаючи з гілки 9.18. Вразливість призводить до аварійного завершення процесу named у разі, якщо TLS-з'єднання до оброблювача на базі протоколу HTTP буде достроково обірвано. Проблема торкається лише серверів, які обслуговують запити DNS over HTTPS (DoH). Сервери, що приймають запити по DNS over TLS (DoT) і не використовують DoH, не схильні до проблеми.
У випуску 9.18.3 також додано кілька функціональних покращень. Додана підтримка другої версії каталогу зон (Catalog Zones), визначеної в п'ятому чернетці специфікації IETF. Каталог зон пропонує новий метод підтримки вторинних DNS-серверів, в якому замість визначення на вторинному сервері окремих записів для кожної вторинної зони між первинним та вторинним серверами організується передача певного набору вторинних зон. Тобто. налаштувавши трансфер каталогу за аналогією з передачею окремих зон, заводні на первинному сервері зони, помічені як входять до каталогу, автоматично створюватимуться на вторинному сервері без необхідності редагування файлів конфігурації.
У новій версії також додано підтримку розширених кодів помилок "Stale Answer" і "Stale NXDOMAIN Answer", що видаються, коли застаріла відповідь повернута з кешу. В named і dig вбудовано можливість верифікації зовнішніх TLS-сертифікатів, що можна використовувати для організації суворої або спільної автентифікації на базі TLS (RFC 9103).
Джерело: opennet.ru