对稳定 DNS 服务器分支的纠正更新 ,以及目前正在开发的实验分支 9.15.2。 新版本解决了竞争条件漏洞 (CVE-2019-6471),当大量传入数据包被阻止时,该漏洞可能导致拒绝服务(触发断言时进程终止)。
此外,新版本 9.14.4 增加了对 GeoIP2 API 的支持,用于根据公司 IP 地址连接位置数据库
MaxMind(通过使用“--with-geoip2”选项构建启用)。 GeoIP2 不再支持以前为旧 GeoIP API 支持的一些 ACL(例如网络速度、组织和国家代码),MaxMind 不再维护旧的 GeoIP API。 还添加了新指标 dnssec-sign 和 dnssec-refresh,以及生成和更新的 DNSSEC 签名数量的计数器。
另外,还可以注意到 DNS 服务器 Knot 2.8.3,向 kdig 添加了 TLS 的证书/密钥配置文件,增加了离线 KSK 签名和 RRL 模块的日志条目的信息内容,并扩展了 DNSSEC 配置检查。
Knot Resolver 4.1.0 更新也已发布,消除了 (CVE-2019-10190、CVE-2019-10191):能够绕过缺少名称查询 (NXDOMAIN) 的 DNSSEC 检查,并能够通过数据包欺骗将受 DNSSEC 保护的域回滚到不受保护的 DNSSEC 状态。
来源: opennet.ru