|
Консорциум ISC представил новый значительный выпуск DNS-сервера BIND 9.10.4, а также обновление прошлой, но ещё поддерживаемой ветки - BIND 9.9.9.
Основные изменения:
- Добавлена поддержка новых типов записей AVC,
CSYNC, NINFO, RKEY, SINK, SMIMEA, TA, TALINK;
- Обеспечен вывод предупреждений для основных проблем с настройкой перенаправления при использовании зон для внутренних подсетей (RFC 1918, интранет) и IPv6 ULA (Universal Local Address);
- В состав добавлена утилита contrib/dnsperf-2.1.0.0-1 для тестирования производительности DNS-сервера;
- Добавлена проверка времени RRSIG при загрузке зон, заверенных цифровой подписью (если время зоны опережает текущее время осуществляется RRSIG);
- Обновлены адреса корневых серверов H.ROOT-SERVERS.NET и
L.ROOT-SERVERS.NET;
- На многопроцессорных системах используемое по умолчанию число обработчиков UDP-соединений теперь устанавливается в значение, на 1 меньше, чем число процессоров;
- Уменьшен размер сообщения при передаче зон между хостами, что позволило более эффективно использовать сжатие и уменьшить нагрузку на сеть;
- В вывод "named -V" добавлено отображение деталей об операционной системе;
- Устранено несколько DoS-уязвимостей:
- CVE-2016-2088 - крах при дублировании опций EDNS COOKIE в ответе;
- CVE-2016-1286 - сбой резолвера при обработке некорректных записей DNAME в ответе сервера;
- CVE-2016-1285 - крах named и rndc при обработке некорректного управляющего сообщения;
- CVE-2015-8705 - крах при обработке специально оформленных записей OPT с флагом CLIENT-SUBNET;
- CVE-2015-8704 - сбой INSIST при отправке серии рекурсивных запросов записей RR с типом APL;
- CVE-2015-8000 - сбой REQUIRE в случае кэширования некорректно оформленных DNS-записей.
| 
