BIND

BIND (Berkeley Internet Name Domain) je software UNIX příkazového řádku, který distribuuje protokol DNS (Open Source). Obsahuje knihovnu resolverů, server / daemon nazvaný `named 'a také softwarové nástroje pro testování a ověřování správné činnosti serverů DNS.

Původně napsaný na Kalifornské univerzitě v Berkeley, společnost BIND byla upsána četnými organizacemi, včetně Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, US Defense Information Systems, USENIX Association, Process Software Corporation, Nominum, a Stichting NLNet & ndash; Nadace NLNet.

Jak bylo zmíněno, BIND se skládá z serveru systémového názvu domény, knihovny resolveru doménového jména a softwarových nástrojů pro testování serverů. Zatímco implementace serveru DNS je zodpovědná za odpovědi na všechny přijaté otázky pomocí pravidel uvedených v oficiálních standardech protokolu DNS, knihovna resolveru DNS řeší otázky týkající se názvů domén.

Podporované operační systémy

BIND byl speciálně navržen pro platformu GNU / Linux a měl by pracovat s libovolnou distribucí Linuxu, včetně Debianu, Ubuntu, Arch Linuxu, Fedory, CentOSu, Red Hat Enterprise Linuxu, Slackwareu, Gentoo, a mnoho dalších. Podporuje architektury 32bitových i 64bitových sad instrukcí.

Projekt je distribuován jako jeden univerzální tarball, který obsahuje zdrojový kód BINDu a umožňuje uživatelům optimalizovat software pro jejich hardwarovou platformu a operační systém (viz výše pro podporované operační systémy a architektury).

Co je nového v této verzi:

• Chyba kódování funkce nxdomain-redirect by mohla vést k selhání tvrzení, pokud byl prostor názvů přesměrování poskytován z místního autoritativního zdroje dat, jako je lokální zóna nebo DLZ namísto rekurzivního vyhledávání. Tato chyba je popsána v dokumentu CVE-2016-9778. [RT # 43837]
• Jmenoval by mohl nesprávně oddělit oddíly autorit, které chyběly RRSIGs spouštějící selhání tvrzení. Tato chyba je popsána v dokumentu CVE-2016-9444. [RT # 43632]
• Jmenovali se nesprávně některé odpovědi, kdy jsou vráceny záznamy RRSIG bez požadovaných údajů, což vede k selhání tvrzení. Tato chyba je popsána v dokumentu CVE-2016-9147. [RT # 43548]
• Nesprávně pojmenovaný název se pokoušel ukládat do mezipaměti záznamy TKEY, které by mohly způsobit selhání tvrzení, když došlo k neshodě třídy. Tato chyba je popsána v dokumentu CVE-2016-9131. [RT # 43522]
• Při zpracování odpovědi bylo možné spustit tvrzení. Tato chyba je popsána v dokumentu CVE-2016-8864. [RT # 43465]

Co je nového ve verzi 9.11.2:

• Chyba kódování funkce nxdomain-redirect by mohla vést k selhání tvrzení, pokud byl prostor názvů přesměrování poskytován z místního autoritativního zdroje dat, jako je lokální zóna nebo DLZ namísto rekurzivního vyhledávání. Tato chyba je popsána v dokumentu CVE-2016-9778. [RT # 43837]
• Jmenoval by mohl nesprávně oddělit oddíly autorit, které chyběly RRSIGs spouštějící selhání tvrzení. Tato chyba je popsána v dokumentu CVE-2016-9444. [RT # 43632]
• Jmenovali se nesprávně některé odpovědi, kdy jsou vráceny záznamy RRSIG bez požadovaných údajů, což vede k selhání tvrzení. Tato chyba je popsána v dokumentu CVE-2016-9147. [RT # 43548]
• Nesprávně pojmenovaný název se pokoušel ukládat do mezipaměti záznamy TKEY, které by mohly způsobit selhání tvrzení, když došlo k neshodě třídy. Tato chyba je popsána v dokumentu CVE-2016-9131. [RT # 43522]
• Při zpracování odpovědi bylo možné spustit tvrzení. Tato chyba je popsána v dokumentu CVE-2016-8864. [RT # 43465]

Co je nového ve verzi 9.11.1-P3:

• Chyba kódování funkce nxdomain-redirect by mohla vést k selhání tvrzení, pokud byl prostor názvů přesměrování poskytován z místního autoritativního zdroje dat, jako je lokální zóna nebo DLZ namísto rekurzivního vyhledávání. Tato chyba je popsána v dokumentu CVE-2016-9778. [RT # 43837]
• Jmenoval by mohl nesprávně oddělit oddíly autorit, které chyběly RRSIGs spouštějící selhání tvrzení. Tato chyba je popsána v dokumentu CVE-2016-9444. [RT # 43632]
• Jmenovali se nesprávně některé odpovědi, kdy jsou vráceny záznamy RRSIG bez požadovaných údajů, což vede k selhání tvrzení. Tato chyba je popsána v dokumentu CVE-2016-9147. [RT # 43548]
• Nesprávně pojmenovaný název se pokoušel ukládat do mezipaměti záznamy TKEY, které by mohly způsobit selhání tvrzení, když došlo k neshodě třídy. Tato chyba je popsána v dokumentu CVE-2016-9131. [RT # 43522]
• Při zpracování odpovědi bylo možné spustit tvrzení. Tato chyba je popsána v dokumentu CVE-2016-8864. [RT # 43465]

Co je nového ve verzi 9.11.1-P1:

• Chyba kódování funkce nxdomain-redirect by mohla vést k selhání tvrzení, pokud byl prostor názvů přesměrování poskytován z místního autoritativního zdroje dat, jako je lokální zóna nebo DLZ namísto rekurzivního vyhledávání. Tato chyba je popsána v dokumentu CVE-2016-9778. [RT # 43837]
• Jmenoval by mohl nesprávně oddělit oddíly autorit, které chyběly RRSIGs spouštějící selhání tvrzení. Tato chyba je popsána v dokumentu CVE-2016-9444. [RT # 43632]
• Jmenovali se nesprávně některé odpovědi, kdy jsou vráceny záznamy RRSIG bez požadovaných údajů, což vede k selhání tvrzení. Tato chyba je popsána v dokumentu CVE-2016-9147. [RT # 43548]
• Nesprávně pojmenovaný název se pokoušel ukládat do mezipaměti záznamy TKEY, které by mohly způsobit selhání tvrzení, když došlo k neshodě třídy. Tato chyba je popsána v dokumentu CVE-2016-9131. [RT # 43522]
• Při zpracování odpovědi bylo možné spustit tvrzení. Tato chyba je popsána v dokumentu CVE-2016-8864. [RT # 43465]

Co je nového ve verzi 9.11.1:

• Chyba kódování funkce nxdomain-redirect by mohla vést k selhání tvrzení, pokud byl prostor názvů přesměrování poskytován z místního autoritativního zdroje dat, jako je lokální zóna nebo DLZ namísto rekurzivního vyhledávání. Tato chyba je popsána v dokumentu CVE-2016-9778. [RT # 43837]
• Jmenoval by mohl nesprávně oddělit oddíly autorit, které chyběly RRSIGs spouštějící selhání tvrzení. Tato chyba je popsána v dokumentu CVE-2016-9444. [RT # 43632]
• Jmenovali se nesprávně některé odpovědi, kdy jsou vráceny záznamy RRSIG bez požadovaných údajů, což vede k selhání tvrzení. Tato chyba je popsána v dokumentu CVE-2016-9147. [RT # 43548]
• Nesprávně pojmenovaný název se pokoušel ukládat do mezipaměti záznamy TKEY, které by mohly způsobit selhání tvrzení, když došlo k neshodě třídy. Tato chyba je popsána v dokumentu CVE-2016-9131. [RT # 43522]
• Při zpracování odpovědi bylo možné spustit tvrzení. Tato chyba je popsána v dokumentu CVE-2016-8864. [RT # 43465]

Co je nového ve verzi 9.11.0-P2:

• Chyba kódování funkce nxdomain-redirect by mohla vést k selhání tvrzení, pokud by byl obor názvů přesměrování poskytován z místního autoritativního zdroje dat, jako je místní zóna nebo DLZ místo rekurzivního vyhledávání. Tato chyba je popsána v dokumentu CVE-2016-9778. [RT # 43837]
• Jmenoval by mohl nesprávně oddělit oddíly autorit, které chyběly RRSIGs spouštějící selhání tvrzení. Tato chyba je popsána v dokumentu CVE-2016-9444. [RT # 43632]
• Jmenovali se nesprávně některé odpovědi, kdy jsou vráceny záznamy RRSIG bez požadovaných údajů, což vede k selhání tvrzení. Tato chyba je popsána v dokumentu CVE-2016-9147. [RT # 43548]
• Nesprávně pojmenovaný název se pokoušel ukládat do mezipaměti záznamy TKEY, které by mohly způsobit selhání tvrzení, když došlo k neshodě třídy. Tato chyba je popsána v dokumentu CVE-2016-9131. [RT # 43522]
• Při zpracování odpovědi bylo možné spustit tvrzení. Tato chyba je popsána v dokumentu CVE-2016-8864. [RT # 43465]

Co je nového ve verzi 9.11.0-P1:

• Opravy zabezpečení:
• Nesprávná hraniční kontrola v typu OPENPGPKEY ratatatype může způsobit selhání tvrzení. Tato chyba je popsána v dokumentu CVE-2015-5986. [RT # 40286]
• Chyba při vyrovnávání vyrovnávací paměti by mohla při selhání některých chybných klíčů DNSSEC způsobit selhání tvrzení. Tuto chybu objevil Hanno Bock z projektu Fuzzing a je popsán v dokumentu CVE-2015-5722. [RT # 40212]
• Zvláště vytvořený dotaz by mohl způsobit selhání tvrzení v message.c. Tato chyba byla objevena Jonathanem Footem a je popsána v CVE-2015-5477. [RT # 40046]
• Na serverech nakonfigurovaných k ověření DNSSEC by mohlo dojít k selhání tvrzení o odpovědi ze speciálně nakonfigurovaného serveru. Tuto chybu objevil Breno Silveira Soares a je zveřejněn v CVE-2015-4620. [RT # 39795]
• Nové funkce:
• Byly přidány nové kvóty, které omezují dotazy odesílané rekurzivními řešiteli na autoritativní servery, které prožívají útoky typu Denial-of-Service. Při nakonfigurování mohou tyto možnosti snížit škody způsobené autoritativním serverům a také vyhnout se vyčerpání zdrojů, které mohou rekurzivé prožít, když jsou používány jako prostředek k takovému útoku. POZNÁMKA: Tyto možnosti nejsou ve výchozím nastavení k dispozici; použijte configure --enable-fetchlimit pro zahrnutí do buildu. + načítání na server omezuje počet souběžných dotazů, které lze odeslat na jakýkoli jednotlivý autorizovaný server. Konfigurovaná hodnota je výchozí bod; automaticky se nastavuje směrem dolů, pokud je server částečně nebo zcela nereaguje. Algoritmus, který se používá k úpravě kvóty, lze konfigurovat pomocí možnosti fetch-quota-params. + načítání na zónu omezuje počet souběžných dotazů, které lze odeslat pro jména v rámci jedné domény. (Poznámka: Na rozdíl od "přelévání na server" tato hodnota není samočinná.) Ke sledování počtu dotazů, které tyto kvóty ovlivňují, byly přidány také čítače statistik.
• dig + ednsflags lze nyní použít pro zadání příznaků EDNS, které již mají být definovány v žádostech DNS.
• dig + [no] ednsnegotiation lze nyní použít povolit / zakázat vyjednávání verzí EDNS.
• Přepínač konfigurace --enable-querytrace je nyní k dispozici, aby byl umožněn velmi podrobný popis trasování. Tuto možnost lze nastavit pouze při kompilačním čase. Tato možnost má negativní dopad na výkon a měla by být použita pouze pro ladění.
• Změny funkcí:
• Velké změny inline-signing by měly být méně rušivé. Generování podpisů se nyní děje postupně; počet podpisů generovaných v každé kvantové jednotce je řízen "sig-signing-signatures number". [RT # 37927]
• Experimentální rozšíření SIT nyní používá kódový bod EDNS COOKIE (10) a zobrazí se jako "COOKIE:". Existující direktivy named.conf; "request-sit", "sit-secret" a "nosit-udp-size" jsou stále platné a budou nahrazeny "send-cookie", "cookie-secret" a "nocookie-udp-size" . Existující direktiva dig "+ sit" je stále platná a bude nahrazena "+ cookie" v BINDu 9.11.
• Při pokusu o opakování dotazu prostřednictvím TCP kvůli první zkrácené odpovědi bude dig nyní správně odeslat hodnotu COOKIE vrácenou serverem v předchozí odpovědi. [RT # 39047]
• Načítání lokálního rozsahu portů z net.ipv4.ip_local_port_range na Linuxu je nyní podporováno.
• Názvy Active Directory formuláře gc._msdcs. jsou nyní přijímány jako platné názvy hostitelů při použití možnosti check-names. je stále omezeno na písmena, číslice a pomlčky.
• Názvy obsahující bohatý text jsou nyní přijímány jako platné názvy hostitelů v záznamech PTR v zónách zpětného vyhledávání DNS-SD podle RFC 6763. [RT # 37889]
• Opravy chyb:
• Zatížení asynchronní zóny nebyla správně zpracována, když bylo zatížení zóny již v provozu; mohlo by dojít ke zhroucení zt.c. [RT # 37573]
• Závod během vypnutí nebo rekonfigurace může způsobit selhání tvrzení v paměti. [RT # 38979]
• Některé možnosti formátování odpovědí nefungovaly korektně pomocí funkce dig + short. [RT # 39291]
• Špatně vytvořené záznamy některých typů, včetně NSAP a UNSPEC, by mohly způsobit selhání tvrzení při načítání textových zónových souborů. [RT # 40274] [RT # 40285]
• Opraveno možné selhání v modulu ratelimiter.c způsobené zprávami NOTIFY, které byly odstraněny z nesprávné fronty omezovače rychlosti. [RT # 40350]
• Výchozí rrset-order náhodného použití byla nekonzistentně použita. [RT # 40456]
• Odpovědi BADVERS z poškozených autoritativních jmenných serverů nebyly správně zpracovány. [RT # 40427]
• Několik chyb bylo provedeno v implementaci RPZ: + Zóny politiky, které nevyžadovaly specifickou rekurzi, by se mohly zacházet jako s nimi; v důsledku toho nastavení qname-wait-recurse no; bylo někdy neúčinné. To bylo opraveno. Ve většině konfigurací změny chování způsobené touto opravou nebudou viditelné. [RT # 39229] + Server by mohl selhat, pokud by byly aktualizovány zóny zásad (např. Pomocí rndc reload nebo přicházejícího přenosu zóny), zatímco zpracování RPZ stále probíhalo pro aktivní dotaz. [RT # 39415] + Na serverech s jednou nebo více zónami zásad konfigurovanými jako slave, pokud zóna zásad aktualizovaná během běžné operace (spíše než při spuštění) pomocí plné znovuzískání zóny, například přes AXFR, může chyba dovolit souhrn RPZ data nespadají do synchronizace, což může vést k selhání tvrzení v rpz.c, když byly do zóny provedeny další přírůstkové aktualizace, například přes IXFR. [RT # 39567] + Server mohl odpovídat kratší předponu než to, co bylo k dispozici v nástrojích CLIENT-IP spouští politiku, a tak by mohla být provedena neočekávaná akce. To bylo opraveno. [RT # 39481] + Server by mohl dojít k selhání, pokud došlo k opětovnému načtení zóny RPZ během dalšího opětného načítání stejné zóny.

  [RT # 39649] + Názvy dotazů se mohly shodovat s nesprávnou zónou zásad, pokud byly přítomny zástupné znaky. [RT # 40357]

Co je nového ve verzi 9.11.0:

• Opravy zabezpečení:
• Nesprávná hraniční kontrola v typu OPENPGPKEY ratatatype může způsobit selhání tvrzení. Tato chyba je popsána v dokumentu CVE-2015-5986. [RT # 40286]
• Chyba při vyrovnávání vyrovnávací paměti by mohla při selhání některých chybných klíčů DNSSEC způsobit selhání tvrzení. Tuto chybu objevil Hanno Bock z projektu Fuzzing a je popsán v dokumentu CVE-2015-5722. [RT # 40212]
• Zvláště vytvořený dotaz by mohl způsobit selhání tvrzení v message.c. Tato chyba byla objevena Jonathanem Footem a je popsána v CVE-2015-5477. [RT # 40046]
• Na serverech nakonfigurovaných k ověření DNSSEC by mohlo dojít k selhání tvrzení o odpovědi ze speciálně nakonfigurovaného serveru. Tuto chybu objevil Breno Silveira Soares a je zveřejněn v CVE-2015-4620. [RT # 39795]
• Nové funkce:
• Byly přidány nové kvóty, které omezují dotazy odesílané rekurzivními řešiteli na autoritativní servery, které prožívají útoky typu Denial-of-Service. Při nakonfigurování mohou tyto možnosti snížit škody způsobené autoritativním serverům a také vyhnout se vyčerpání zdrojů, které mohou rekurzivé prožít, když jsou používány jako prostředek k takovému útoku. POZNÁMKA: Tyto možnosti nejsou ve výchozím nastavení k dispozici; použijte configure --enable-fetchlimit pro zahrnutí do buildu. + načítání na server omezuje počet souběžných dotazů, které lze odeslat na jakýkoli jednotlivý autorizovaný server. Konfigurovaná hodnota je výchozí bod; automaticky se nastavuje směrem dolů, pokud je server částečně nebo zcela nereaguje. Algoritmus, který se používá k úpravě kvóty, lze konfigurovat pomocí možnosti fetch-quota-params. + načítání na zónu omezuje počet souběžných dotazů, které lze odeslat pro jména v rámci jedné domény. (Poznámka: Na rozdíl od "přelévání na server" tato hodnota není samočinná.) Ke sledování počtu dotazů, které tyto kvóty ovlivňují, byly přidány také čítače statistik.
• dig + ednsflags lze nyní použít pro zadání příznaků EDNS, které již mají být definovány v žádostech DNS.
• dig + [no] ednsnegotiation lze nyní použít povolit / zakázat vyjednávání verzí EDNS.
• Přepínač konfigurace --enable-querytrace je nyní k dispozici, aby byl umožněn velmi podrobný popis trasování. Tuto možnost lze nastavit pouze při kompilačním čase. Tato možnost má negativní dopad na výkon a měla by být použita pouze pro ladění.
• Změny funkcí:
• Velké změny inline-signing by měly být méně rušivé. Generování podpisů se nyní děje postupně; počet podpisů generovaných v každé kvantové jednotce je řízen "sig-signing-signatures number". [RT # 37927]
• Experimentální rozšíření SIT nyní používá kódový bod EDNS COOKIE (10) a zobrazí se jako "COOKIE:". Existující direktivy named.conf; "request-sit", "sit-secret" a "nosit-udp-size" jsou stále platné a budou nahrazeny "send-cookie", "cookie-secret" a "nocookie-udp-size" . Existující direktiva dig "+ sit" je stále platná a bude nahrazena "+ cookie" v BINDu 9.11.
• Při pokusu o opakování dotazu prostřednictvím TCP kvůli první zkrácené odpovědi bude dig nyní správně odeslat hodnotu COOKIE vrácenou serverem v předchozí odpovědi. [RT # 39047]
• Načítání lokálního rozsahu portů z net.ipv4.ip_local_port_range na Linuxu je nyní podporováno.
• Názvy Active Directory formuláře gc._msdcs. jsou nyní přijímány jako platné názvy hostitelů při použití možnosti check-names. je stále omezeno na písmena, číslice a pomlčky.
• Názvy obsahující bohatý text jsou nyní přijímány jako platné názvy hostitelů v záznamech PTR v zónách zpětného vyhledávání DNS-SD podle RFC 6763. [RT # 37889]
• Opravy chyb:
• Zatížení asynchronní zóny nebyla správně zpracována, když bylo zatížení zóny již v provozu; mohlo by dojít ke zhroucení zt.c. [RT # 37573]
• Závod během vypnutí nebo rekonfigurace může způsobit selhání tvrzení v paměti. [RT # 38979]
• Některé možnosti formátování odpovědí nefungovaly korektně pomocí funkce dig + short. [RT # 39291]
• Špatně vytvořené záznamy některých typů, včetně NSAP a UNSPEC, by mohly způsobit selhání tvrzení při načítání textových zónových souborů. [RT # 40274] [RT # 40285]
• Opraveno možné selhání v modulu ratelimiter.c způsobené zprávami NOTIFY, které byly odstraněny z nesprávné fronty omezovače rychlosti. [RT # 40350]
• Výchozí rrset-order náhodného použití byla nekonzistentně použita. [RT # 40456]
• Odpovědi BADVERS z poškozených autoritativních jmenných serverů nebyly správně zpracovány. [RT # 40427]
• Několik chyb bylo provedeno v implementaci RPZ: + Zóny politiky, které nevyžadovaly specifickou rekurzi, by se mohly zacházet jako s nimi; v důsledku toho nastavení qname-wait-recurse no; bylo někdy neúčinné. To bylo opraveno. Ve většině konfigurací změny chování způsobené touto opravou nebudou viditelné. [RT # 39229] + Server by mohl selhat, pokud by byly aktualizovány zóny zásad (např. Pomocí rndc reload nebo přicházejícího přenosu zóny), zatímco zpracování RPZ stále probíhalo pro aktivní dotaz. [RT # 39415] + Na serverech s jednou nebo více zónami zásad konfigurovanými jako slave, pokud zóna zásad aktualizovaná během běžné operace (spíše než při spuštění) pomocí plné znovuzískání zóny, například přes AXFR, může chyba dovolit souhrn RPZ data nespadají do synchronizace, což může vést k selhání tvrzení v rpz.c, když byly do zóny provedeny další přírůstkové aktualizace, například přes IXFR. [RT # 39567] + Server mohl odpovídat kratší předponu než to, co bylo k dispozici v nástrojích CLIENT-IP spouští politiku, a tak by mohla být provedena neočekávaná akce. To bylo opraveno. [RT # 39481] + Server by mohl dojít k selhání, pokud došlo k opětovnému načtení zóny RPZ během dalšího opětného načítání stejné zóny.

  [RT # 39649] + Názvy dotazů se mohly shodovat s nesprávnou zónou zásad, pokud byly přítomny zástupné znaky. [RT # 40357]

Co je nového ve verzi 9.10.4-P3:

• Opravy zabezpečení:
• Nesprávná hraniční kontrola v typu OPENPGPKEY ratatatype může způsobit selhání tvrzení. Tato chyba je popsána v dokumentu CVE-2015-5986. [RT # 40286]
• Chyba při vyrovnávání vyrovnávací paměti by mohla při selhání některých chybných klíčů DNSSEC způsobit selhání tvrzení. Tuto chybu objevil Hanno Bock z projektu Fuzzing a je popsán v dokumentu CVE-2015-5722. [RT # 40212]
• Zvláště vytvořený dotaz by mohl způsobit selhání tvrzení v message.c. Tato chyba byla objevena Jonathanem Footem a je popsána v CVE-2015-5477. [RT # 40046]
• Na serverech nakonfigurovaných k ověření DNSSEC by mohlo dojít k selhání tvrzení o odpovědi ze speciálně nakonfigurovaného serveru. Tuto chybu objevil Breno Silveira Soares a je zveřejněn v CVE-2015-4620. [RT # 39795]
• Nové funkce:
• Byly přidány nové kvóty, které omezují dotazy odesílané rekurzivními řešiteli na autoritativní servery, které prožívají útoky typu Denial-of-Service. Při nakonfigurování mohou tyto možnosti snížit škody způsobené autoritativním serverům a také vyhnout se vyčerpání zdrojů, které mohou rekurzivé prožít, když jsou používány jako prostředek k takovému útoku. POZNÁMKA: Tyto možnosti nejsou ve výchozím nastavení k dispozici; použijte configure --enable-fetchlimit pro zahrnutí do buildu. + načítání na server omezuje počet souběžných dotazů, které lze odeslat na jakýkoli jednotlivý autorizovaný server. Konfigurovaná hodnota je výchozí bod; automaticky se nastavuje směrem dolů, pokud je server částečně nebo zcela nereaguje. Algoritmus, který se používá k úpravě kvóty, lze konfigurovat pomocí možnosti fetch-quota-params. + načítání na zónu omezuje počet souběžných dotazů, které lze odeslat pro jména v rámci jedné domény. (Poznámka: Na rozdíl od "přelévání na server" tato hodnota není samočinná.) Ke sledování počtu dotazů, které tyto kvóty ovlivňují, byly přidány také čítače statistik.
• dig + ednsflags lze nyní použít pro zadání příznaků EDNS, které již mají být definovány v žádostech DNS.
• dig + [no] ednsnegotiation lze nyní použít povolit / zakázat vyjednávání verzí EDNS.
• Přepínač konfigurace --enable-querytrace je nyní k dispozici, aby byl umožněn velmi podrobný popis trasování. Tuto možnost lze nastavit pouze při kompilačním čase. Tato možnost má negativní dopad na výkon a měla by být použita pouze pro ladění.
• Změny funkcí:
• Velké změny inline-signing by měly být méně rušivé. Generování podpisů se nyní děje postupně; počet podpisů generovaných v každé kvantové jednotce je řízen "sig-signing-signatures number". [RT # 37927]
• Experimentální rozšíření SIT nyní používá kódový bod EDNS COOKIE (10) a zobrazí se jako "COOKIE:". Existující direktivy named.conf; "request-sit", "sit-secret" a "nosit-udp-size" jsou stále platné a budou nahrazeny "send-cookie", "cookie-secret" a "nocookie-udp-size" . Existující direktiva dig "+ sit" je stále platná a bude nahrazena "+ cookie" v BINDu 9.11.
• Při pokusu o opakování dotazu prostřednictvím TCP kvůli první zkrácené odpovědi bude dig nyní správně odeslat hodnotu COOKIE vrácenou serverem v předchozí odpovědi. [RT # 39047]
• Načítání lokálního rozsahu portů z net.ipv4.ip_local_port_range na Linuxu je nyní podporováno.
• Názvy Active Directory formuláře gc._msdcs. jsou nyní přijímány jako platné názvy hostitelů při použití možnosti check-names. je stále omezeno na písmena, číslice a pomlčky.
• Názvy obsahující bohatý text jsou nyní přijímány jako platné názvy hostitelů v záznamech PTR v zónách zpětného vyhledávání DNS-SD podle RFC 6763. [RT # 37889]
• Opravy chyb:
• Zatížení asynchronní zóny nebyla správně zpracována, když bylo zatížení zóny již v provozu; mohlo by dojít ke zhroucení zt.c. [RT # 37573]
• Závod během vypnutí nebo rekonfigurace může způsobit selhání tvrzení v paměti. [RT # 38979]
• Některé možnosti formátování odpovědí nefungovaly korektně pomocí funkce dig + short. [RT # 39291]
• Špatně vytvořené záznamy některých typů, včetně NSAP a UNSPEC, by mohly způsobit selhání tvrzení při načítání textových zónových souborů. [RT # 40274] [RT # 40285]
• Opraveno možné selhání v modulu ratelimiter.c způsobené zprávami NOTIFY, které byly odstraněny z nesprávné fronty omezovače rychlosti. [RT # 40350]
• Výchozí rrset-order náhodného použití byla nekonzistentně použita. [RT # 40456]
• Odpovědi BADVERS z poškozených autoritativních jmenných serverů nebyly správně zpracovány. [RT # 40427]
• Několik chyb bylo provedeno v implementaci RPZ: + Zóny politiky, které nevyžadovaly specifickou rekurzi, by se mohly zacházet jako s nimi; v důsledku toho nastavení qname-wait-recurse no; bylo někdy neúčinné. To bylo opraveno. Ve většině konfigurací změny chování způsobené touto opravou nebudou viditelné. [RT # 39229] + Server by mohl selhat, pokud by byly aktualizovány zóny zásad (např. Pomocí rndc reload nebo přicházejícího přenosu zóny), zatímco zpracování RPZ stále probíhalo pro aktivní dotaz. [RT # 39415] + Na serverech s jednou nebo více zónami zásad konfigurovanými jako slave, pokud zóna zásad aktualizovaná během běžné operace (spíše než při spuštění) pomocí plné znovuzískání zóny, například přes AXFR, může chyba dovolit souhrn RPZ data nespadají do synchronizace, což může vést k selhání tvrzení v rpz.c, když byly do zóny provedeny další přírůstkové aktualizace, například přes IXFR. [RT # 39567] + Server mohl odpovídat kratší předponu než to, co bylo k dispozici v nástrojích CLIENT-IP spouští politiku, a tak by mohla být provedena neočekávaná akce. To bylo opraveno. [RT # 39481] + Server by mohl dojít k selhání, pokud došlo k opětovnému načtení zóny RPZ během dalšího opětného načítání stejné zóny.[RT # 39649] + Názvy dotazů se mohly shodovat s nesprávnou zónou zásad, pokud byly přítomny zástupné znaky. [RT # 40357]