BIND

BIND (Berkeley Internet Name Domain) - это программное обеспечение UNIX с командной строкой, которое распространяет реализацию протоколов доменных имен (DNS) с открытым исходным кодом. Он состоит из библиотеки resolver, сервера / демона под названием «named», а также программных средств для тестирования и проверки правильной работы DNS-серверов.

Изначально написанный в Калифорнийском университете в Беркли, BIND был подписан многочисленными организациями, включая Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, Агентство оборонных информационных систем США, Ассоциацию USENIX, Process Software Corporation, Nominum, и Stichting NLNet & ndash; Фонд NLNet.

Как уже упоминалось, BIND включает сервер системы имен доменов, библиотеку распознавателей систем имен доменов и программные средства для тестирования серверов. Хотя реализация DNS-сервера отвечает за все полученные вопросы, используя правила, указанные в официальных стандартах протокола DNS, библиотека DNS-резольвера разрешает вопросы о доменных именах.

Поддерживаемые операционные системы

BIND был специально разработан для платформы GNU / Linux и должен хорошо работать с любым дистрибутивом Linux, включая Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, openSUSE, Mageia, и многие другие. Он поддерживает как 32-битные, так и 64-разрядные архитектуры набора инструкций.

Проект распространяется как единый универсальный tarball, включающий исходный код BIND, позволяющий пользователям оптимизировать программное обеспечение для их аппаратной платформы и операционной системы (см. выше для поддерживаемых ОС и архитектур).

Что нового в этой версии:

• Ошибка кодирования в функции nxdomain-redirect может привести к ошибке утверждения, если пространство имен перенаправления было отправлено из локального авторитетного источника данных, такого как локальная зона или DLZ, а не через рекурсивный поиск. Этот недостаток раскрыт в CVE-2016-9778. [RT # 43837]
• Именованные могут игнорировать разделы полномочий, в которых отсутствовали RRSIG, вызывающие ошибку утверждения. Этот недостаток раскрыт в CVE-2016-9444. [RT # 43632]
• Именованные неправильно обработали некоторые ответы, когда покрытие записей RRSIG возвращается без запрошенных данных, что приводит к ошибке утверждения. Этот недостаток раскрыт в CVE-2016-9147. [RT # 43548]
• Именованные неправильно пытались кэшировать записи TKEY, которые могли бы вызвать сбой утверждения при наличии несоответствия класса. Этот недостаток раскрыт в CVE-2016-9131. [RT # 43522]
• При обработке ответа можно было инициировать утверждения. Этот недостаток раскрыт в CVE-2016-8864. [RT # 43465]

Что нового в версии 9.11.2:

• Ошибка кодирования в функции nxdomain-redirect может привести к ошибке утверждения, если пространство имен перенаправления было отправлено из локального авторитетного источника данных, такого как локальная зона или DLZ, а не через рекурсивный поиск. Этот недостаток раскрыт в CVE-2016-9778. [RT # 43837]
• Именованные могут игнорировать разделы полномочий, в которых отсутствовали RRSIG, вызывающие ошибку утверждения. Этот недостаток раскрыт в CVE-2016-9444. [RT # 43632]
• Именованные неправильно обработали некоторые ответы, когда покрытие записей RRSIG возвращается без запрошенных данных, что приводит к ошибке утверждения. Этот недостаток раскрыт в CVE-2016-9147. [RT # 43548]
• Именованные неправильно пытались кэшировать записи TKEY, которые могли бы вызвать сбой утверждения при наличии несоответствия класса. Этот недостаток раскрыт в CVE-2016-9131. [RT # 43522]
• При обработке ответа можно было инициировать утверждения. Этот недостаток раскрыт в CVE-2016-8864. [RT # 43465]

Что нового в версии 9.11.1-P3:

• Ошибка кодирования в функции nxdomain-redirect может привести к ошибке утверждения, если пространство имен перенаправления было отправлено из локального авторитетного источника данных, такого как локальная зона или DLZ, а не через рекурсивный поиск. Этот недостаток раскрыт в CVE-2016-9778. [RT # 43837]
• Именованные могут игнорировать разделы полномочий, в которых отсутствовали RRSIG, вызывающие ошибку утверждения. Этот недостаток раскрыт в CVE-2016-9444. [RT # 43632]
• Именованные неправильно обработали некоторые ответы, когда покрытие записей RRSIG возвращается без запрошенных данных, что приводит к ошибке утверждения. Этот недостаток раскрыт в CVE-2016-9147. [RT # 43548]
• Именованные неправильно пытались кэшировать записи TKEY, которые могли бы вызвать сбой утверждения при наличии несоответствия класса. Этот недостаток раскрыт в CVE-2016-9131. [RT # 43522]
• При обработке ответа можно было инициировать утверждения. Этот недостаток раскрыт в CVE-2016-8864. [RT # 43465]

Что нового в версии 9.11.1-P1:

• Ошибка кодирования в функции nxdomain-redirect может привести к ошибке утверждения, если пространство имен перенаправления было отправлено из локального авторитетного источника данных, такого как локальная зона или DLZ, а не через рекурсивный поиск. Этот недостаток раскрыт в CVE-2016-9778. [RT # 43837]
• Именованные могут игнорировать разделы полномочий, в которых отсутствовали RRSIG, вызывающие ошибку утверждения. Этот недостаток раскрыт в CVE-2016-9444. [RT # 43632]
• Именованные неправильно обработали некоторые ответы, когда покрытие записей RRSIG возвращается без запрошенных данных, что приводит к ошибке утверждения. Этот недостаток раскрыт в CVE-2016-9147. [RT # 43548]
• Именованные неправильно пытались кэшировать записи TKEY, которые могли бы вызвать сбой утверждения при наличии несоответствия класса. Этот недостаток раскрыт в CVE-2016-9131. [RT # 43522]
• При обработке ответа можно было инициировать утверждения. Этот недостаток раскрыт в CVE-2016-8864. [RT # 43465]

Что нового в версии 9.11.1:

• Ошибка кодирования в функции nxdomain-redirect может привести к ошибке утверждения, если пространство имен перенаправления было отправлено из локального авторитетного источника данных, такого как локальная зона или DLZ, а не через рекурсивный поиск. Этот недостаток раскрыт в CVE-2016-9778. [RT # 43837]
• Именованные могут игнорировать разделы полномочий, в которых отсутствовали RRSIG, вызывающие ошибку утверждения. Этот недостаток раскрыт в CVE-2016-9444. [RT # 43632]
• Именованные неправильно обработали некоторые ответы, когда покрытие записей RRSIG возвращается без запрошенных данных, что приводит к ошибке утверждения. Этот недостаток раскрыт в CVE-2016-9147. [RT # 43548]
• Именованные неправильно пытались кэшировать записи TKEY, которые могли бы вызвать сбой утверждения при наличии несоответствия класса. Этот недостаток раскрыт в CVE-2016-9131. [RT # 43522]
• При обработке ответа можно было инициировать утверждения. Этот недостаток раскрыт в CVE-2016-8864. [RT # 43465]

Что нового в версии 9.11.0-P2:

• Ошибка кодирования в функции nxdomain-redirect может привести к ошибке утверждения, если пространство имен перенаправления было отправлено из локального авторитетного источника данных, такого как локальная зона или DLZ, а не через рекурсивный поиск. Этот недостаток раскрыт в CVE-2016-9778. [RT # 43837]
• Именованные могут игнорировать разделы полномочий, в которых отсутствовали RRSIG, вызывающие ошибку утверждения. Этот недостаток раскрыт в CVE-2016-9444. [RT # 43632]
• Именованные неправильно обработали некоторые ответы, когда покрытие записей RRSIG возвращается без запрошенных данных, что приводит к ошибке утверждения. Этот недостаток раскрыт в CVE-2016-9147. [RT # 43548]
• Именованные неправильно пытались кэшировать записи TKEY, которые могли бы вызвать сбой утверждения при наличии несоответствия класса. Этот недостаток раскрыт в CVE-2016-9131. [RT # 43522]
• При обработке ответа можно было инициировать утверждения. Этот недостаток раскрыт в CVE-2016-8864. [RT # 43465]

Что нового в версии 9.11.0-P1:

• Исправления безопасности:
• Неправильная проверка границ в rdatatype OPENPGPKEY может вызвать ошибку утверждения. Этот недостаток раскрыт в CVE-2015-5986. [RT # 40286]
• Ошибка учета буфера может вызвать ошибку утверждения при анализе определенных некорректных ключей DNSSEC. Этот недостаток был обнаружен Ханно Боком из Fuzzing Project и раскрыт в CVE-2015-5722. [RT # 40212]
• Специально созданный запрос может вызвать ошибку утверждения в message.c. Этот недостаток был обнаружен Джонатаном Футом и раскрыт в CVE-2015-5477. [RT # 40046]
• На серверах, настроенных для выполнения проверки DNSSEC, при ответах с специально сконфигурированного сервера может возникнуть ошибка утверждения. Этот недостаток был обнаружен Брено Силвейрой Соареш и раскрыт в CVE-2015-4620. [RT # 39795]
• Новые функции:
• Добавлены новые квоты, чтобы ограничить запросы, отправляемые рекурсивными преобразователями, на авторитетные серверы, испытывающие атаки типа «отказ в обслуживании». При настройке эти параметры могут уменьшить вред, нанесенный авторитетным серверам, а также избежать истощения ресурсов, которые могут быть испытаны рекурсиями, когда они используются в качестве средства для такой атаки. ПРИМЕЧАНИЕ. Эти параметры недоступны по умолчанию; используйте configure --enable-fetchlimit, чтобы включить их в сборку. + fetches-per-server ограничивает количество одновременных запросов, которые могут быть отправлены на любой авторитетный сервер. Установленное значение является начальной точкой; он автоматически корректируется вниз, если сервер частично или полностью не реагирует. Алгоритм, используемый для настройки квоты, можно настроить с помощью параметра выборки-квоты-параметров. + fetches-per-zone ограничивает количество одновременных запросов, которые могут быть отправлены для имен в пределах одного домена. (Примечание. В отличие от «выборки на сервер» это значение не самонастраивается.) Счетчики статистики также добавлены для отслеживания количества запросов, затронутых этими квотами.
• dig + ednsflags теперь могут использоваться для установки неопределенных флагов EDNS в запросах DNS.
• dig + [no] ednsnegotiation теперь может использоваться для включения / отключения согласования версии EDNS.
• Теперь доступен параметр --enable-querytrace configure, чтобы включить очень многословную цепочку запросов. Этот параметр можно установить только во время компиляции. Эта опция имеет отрицательное влияние на производительность и должна использоваться только для отладки.
• Изменения функции:
• Большие встроенные изменения должны быть менее разрушительными. Генерация подписи теперь выполняется постепенно; количество подписей, которые должны быть сгенерированы в каждом кванте, контролируется «подписью-подписью-подписью»; [RT # 37927]
• Экспериментальное расширение SIT теперь использует кодовую точку опции EDNS COOKIE (10) и отображается как «COOKIE:». Существующие директивы named.conf; «request-sit», «sit-secret» и «nosit-udp-size», все еще действительны и будут заменены «send-cookie», «cookie-secret» и «nocookie-udp-size» в BIND 9.11 , Действующая директива dig + сидит остается в силе и будет заменена на «+ cookie» в BIND 9.11.
• При повторной попытке запроса через TCP из-за усечения первого ответного кода теперь корректно отправляет значение COOKIE, возвращаемое сервером в предыдущем ответе. [RT # 39047]
• Теперь поддерживается привязка диапазона локальных портов от net.ipv4.ip_local_port_range в Linux.
• Имена Active Directory формы gc._msdcs. теперь принимаются как допустимые имена хостов при использовании опции check-names. по-прежнему ограничено буквами, цифрами и дефисами.
• Имена, содержащие богатый текст, теперь принимаются как допустимые имена хостов в записи PTR в зонах обратного просмотра DNS-SD, как указано в RFC 6763. [RT # 37889]
• Исправления ошибок:
• Асинхронные нагрузки на зону не обрабатывались правильно, когда зональная загрузка уже была выполнена; это может вызвать сбой в zt.c. [RT # 37573]
• Гонка во время выключения или реконфигурации может привести к ошибке утверждения в mem.c. [RT # 38979]
• Некоторые параметры форматирования ответа не работали корректно с dig + short. [RT # 39291]
• Неправильные записи некоторых типов, включая NSAP и UNSPEC, могут приводить к сбоям при загрузке файлов текстовой зоны. [RT # 40274] [RT # 40285]
• Исправлен возможный сбой в ratelimiter.c, вызванный сообщениями NOTIFY, которые были удалены из неправильной очереди ограничения скорости. [RT # 40350]
• Случайный случайный порядок по умолчанию был применен непоследовательно. [RT # 40456]
• Ответы BADVERS от поврежденных авторитетных серверов имен обрабатывались неправильно. [RT # 40427]
<>В реализации RPZ было исправлено несколько ошибок: + Зоны политики, которые специально не требуют рекурсии, можно рассматривать так, как если бы они это делали; следовательно, установка qname-wait-recurse no; иногда оказывалось неэффективным. Это было исправлено. В большинстве конфигураций изменения поведения из-за этого исправления не будут заметны. [RT # 39229] + Сервер может сработать, если зоны политики были обновлены (например, через перезагрузку rndc или передачу входящей зоны), в то время как обработка RPZ все еще продолжалась для активного запроса. [RT # 39415] + На серверах с одной или несколькими политическими зонами, настроенными как подчиненные устройства, если зона политики обновляется во время обычной работы (а не при запуске) с использованием полной перезагрузки зоны, например, через AXFR, ошибка может позволить сводку RPZ данные могут выпасть из синхронизации, что потенциально может привести к ошибке утверждения в rpz.c, когда в зону были добавлены дополнительные инкрементные обновления, например, через IXFR. [RT # 39567] + Сервер может соответствовать более коротким префиксам, чем тот, который был доступен в триггерах политики CLIENT-IP, и поэтому можно было предпринять неожиданные действия. Это было исправлено. [RT # 39481] + Сервер может сработать, если перезагрузка зоны RPZ была инициирована, а другая перезагрузка в той же зоне уже была выполнена.

[RT # 39649] + Имена запросов могут совпадать с неправильной политикой, если имеются подстановочные записи. [RT # 40357]

Что нового в версии 9.11.0:

• Исправления безопасности:
• Неправильная проверка границ в rdatatype OPENPGPKEY может вызвать ошибку утверждения. Этот недостаток раскрыт в CVE-2015-5986. [RT # 40286]
• Ошибка учета буфера может вызвать ошибку утверждения при анализе определенных некорректных ключей DNSSEC. Этот недостаток был обнаружен Ханно Боком из Fuzzing Project и раскрыт в CVE-2015-5722. [RT # 40212]
• Специально созданный запрос может вызвать ошибку утверждения в message.c. Этот недостаток был обнаружен Джонатаном Футом и раскрыт в CVE-2015-5477. [RT # 40046]
• На серверах, настроенных для выполнения проверки DNSSEC, при ответах с специально сконфигурированного сервера может возникнуть ошибка утверждения. Этот недостаток был обнаружен Брено Силвейрой Соареш и раскрыт в CVE-2015-4620. [RT # 39795]
• Новые функции:
• Добавлены новые квоты, чтобы ограничить запросы, отправляемые рекурсивными преобразователями, на авторитетные серверы, испытывающие атаки типа «отказ в обслуживании». При настройке эти параметры могут уменьшить вред, нанесенный авторитетным серверам, а также избежать истощения ресурсов, которые могут быть испытаны рекурсиями, когда они используются в качестве средства для такой атаки. ПРИМЕЧАНИЕ. Эти параметры недоступны по умолчанию; используйте configure --enable-fetchlimit, чтобы включить их в сборку. + fetches-per-server ограничивает количество одновременных запросов, которые могут быть отправлены на любой авторитетный сервер. Установленное значение является начальной точкой; он автоматически корректируется вниз, если сервер частично или полностью не реагирует. Алгоритм, используемый для настройки квоты, можно настроить с помощью параметра выборки-квоты-параметров. + fetches-per-zone ограничивает количество одновременных запросов, которые могут быть отправлены для имен в пределах одного домена. (Примечание. В отличие от «выборки на сервер» это значение не самонастраивается.) Счетчики статистики также добавлены для отслеживания количества запросов, затронутых этими квотами.
• dig + ednsflags теперь могут использоваться для установки неопределенных флагов EDNS в запросах DNS.
• dig + [no] ednsnegotiation теперь может использоваться для включения / отключения согласования версии EDNS.
• Теперь доступен параметр --enable-querytrace configure, чтобы включить очень многословную цепочку запросов. Этот параметр можно установить только во время компиляции. Эта опция имеет отрицательное влияние на производительность и должна использоваться только для отладки.
• Изменения функции:
• Большие встроенные изменения должны быть менее разрушительными. Генерация подписи теперь выполняется постепенно; количество подписей, которые должны быть сгенерированы в каждом кванте, контролируется «подписью-подписью-подписью»; [RT # 37927]
• Экспериментальное расширение SIT теперь использует кодовую точку опции EDNS COOKIE (10) и отображается как «COOKIE:». Существующие директивы named.conf; «request-sit», «sit-secret» и «nosit-udp-size», все еще действительны и будут заменены «send-cookie», «cookie-secret» и «nocookie-udp-size» в BIND 9.11 , Действующая директива dig + сидит остается в силе и будет заменена на «+ cookie» в BIND 9.11.
• При повторной попытке запроса через TCP из-за усечения первого ответного кода теперь корректно отправляет значение COOKIE, возвращаемое сервером в предыдущем ответе. [RT # 39047]
• Теперь поддерживается привязка диапазона локальных портов от net.ipv4.ip_local_port_range в Linux.
• Имена Active Directory формы gc._msdcs. теперь принимаются как допустимые имена хостов при использовании опции check-names. по-прежнему ограничено буквами, цифрами и дефисами.
• Имена, содержащие богатый текст, теперь принимаются как допустимые имена хостов в записи PTR в зонах обратного просмотра DNS-SD, как указано в RFC 6763. [RT # 37889]
• Исправления ошибок:
• Асинхронные нагрузки на зону не обрабатывались правильно, когда зональная загрузка уже была выполнена; это может вызвать сбой в zt.c. [RT # 37573]
• Гонка во время выключения или реконфигурации может привести к ошибке утверждения в mem.c. [RT # 38979]
• Некоторые параметры форматирования ответа не работали корректно с dig + short. [RT # 39291]
• Неправильные записи некоторых типов, включая NSAP и UNSPEC, могут приводить к сбоям при загрузке файлов текстовой зоны. [RT # 40274] [RT # 40285]
• Исправлен возможный сбой в ratelimiter.c, вызванный сообщениями NOTIFY, которые были удалены из неправильной очереди ограничения скорости. [RT # 40350]
• Случайный случайный порядок по умолчанию был применен непоследовательно. [RT # 40456]
• Ответы BADVERS от поврежденных авторитетных серверов имен обрабатывались неправильно. [RT # 40427]
<>В реализации RPZ было исправлено несколько ошибок: + Зоны политики, которые специально не требуют рекурсии, можно рассматривать так, как если бы они это делали; следовательно, установка qname-wait-recurse no; иногда оказывалось неэффективным. Это было исправлено. В большинстве конфигураций изменения поведения из-за этого исправления не будут заметны. [RT # 39229] + Сервер может сработать, если зоны политики были обновлены (например, через перезагрузку rndc или передачу входящей зоны), в то время как обработка RPZ все еще продолжалась для активного запроса. [RT # 39415] + На серверах с одной или несколькими политическими зонами, настроенными как подчиненные устройства, если зона политики обновляется во время обычной работы (а не при запуске) с использованием полной перезагрузки зоны, например, через AXFR, ошибка может позволить сводку RPZ данные могут выпасть из синхронизации, что потенциально может привести к ошибке утверждения в rpz.c, когда в зону были добавлены дополнительные инкрементные обновления, например, через IXFR. [RT # 39567] + Сервер может соответствовать более коротким префиксам, чем тот, который был доступен в триггерах политики CLIENT-IP, и поэтому можно было предпринять неожиданные действия. Это было исправлено. [RT # 39481] + Сервер может сработать, если перезагрузка зоны RPZ была инициирована, а другая перезагрузка в той же зоне уже была выполнена.

[RT # 39649] + Имена запросов могут совпадать с неправильной политикой, если имеются подстановочные записи. [RT # 40357]

Что нового в версии 9.10.4-P3:

• Исправления безопасности:
• Неправильная проверка границ в rdatatype OPENPGPKEY может вызвать ошибку утверждения. Этот недостаток раскрыт в CVE-2015-5986. [RT # 40286]
• Ошибка учета буфера может вызвать ошибку утверждения при анализе определенных некорректных ключей DNSSEC. Этот недостаток был обнаружен Ханно Боком из Fuzzing Project и раскрыт в CVE-2015-5722. [RT # 40212]
• Специально созданный запрос может вызвать ошибку утверждения в message.c. Этот недостаток был обнаружен Джонатаном Футом и раскрыт в CVE-2015-5477. [RT # 40046]
• На серверах, настроенных для выполнения проверки DNSSEC, при ответах с специально сконфигурированного сервера может возникнуть ошибка утверждения. Этот недостаток был обнаружен Брено Силвейрой Соареш и раскрыт в CVE-2015-4620. [RT # 39795]
• Новые функции:
• Добавлены новые квоты, чтобы ограничить запросы, отправляемые рекурсивными преобразователями, на авторитетные серверы, испытывающие атаки типа «отказ в обслуживании». При настройке эти параметры могут уменьшить вред, нанесенный авторитетным серверам, а также избежать истощения ресурсов, которые могут быть испытаны рекурсиями, когда они используются в качестве средства для такой атаки. ПРИМЕЧАНИЕ. Эти параметры недоступны по умолчанию; используйте configure --enable-fetchlimit, чтобы включить их в сборку. + fetches-per-server ограничивает количество одновременных запросов, которые могут быть отправлены на любой авторитетный сервер. Установленное значение является начальной точкой; он автоматически корректируется вниз, если сервер частично или полностью не реагирует. Алгоритм, используемый для настройки квоты, можно настроить с помощью параметра выборки-квоты-параметров. + fetches-per-zone ограничивает количество одновременных запросов, которые могут быть отправлены для имен в пределах одного домена. (Примечание. В отличие от «выборки на сервер» это значение не самонастраивается.) Счетчики статистики также добавлены для отслеживания количества запросов, затронутых этими квотами.
• dig + ednsflags теперь могут использоваться для установки неопределенных флагов EDNS в запросах DNS.
• dig + [no] ednsnegotiation теперь может использоваться для включения / отключения согласования версии EDNS.
• Теперь доступен параметр --enable-querytrace configure, чтобы включить очень многословную цепочку запросов. Этот параметр можно установить только во время компиляции. Эта опция имеет отрицательное влияние на производительность и должна использоваться только для отладки.
• Изменения функции:
• Большие встроенные изменения должны быть менее разрушительными. Генерация подписи теперь выполняется постепенно; количество подписей, которые должны быть сгенерированы в каждом кванте, контролируется «подписью-подписью-подписью»; [RT # 37927]
• Экспериментальное расширение SIT теперь использует кодовую точку опции EDNS COOKIE (10) и отображается как «COOKIE:». Существующие директивы named.conf; «request-sit», «sit-secret» и «nosit-udp-size», все еще действительны и будут заменены «send-cookie», «cookie-secret» и «nocookie-udp-size» в BIND 9.11 , Действующая директива dig + сидит остается в силе и будет заменена на «+ cookie» в BIND 9.11.
• При повторной попытке запроса через TCP из-за усечения первого ответного кода теперь корректно отправляет значение COOKIE, возвращаемое сервером в предыдущем ответе. [RT # 39047]
• Теперь поддерживается привязка диапазона локальных портов от net.ipv4.ip_local_port_range в Linux.
• Имена Active Directory формы gc._msdcs. теперь принимаются как допустимые имена хостов при использовании опции check-names. по-прежнему ограничено буквами, цифрами и дефисами.
• Имена, содержащие богатый текст, теперь принимаются как допустимые имена хостов в записи PTR в зонах обратного просмотра DNS-SD, как указано в RFC 6763. [RT # 37889]
• Исправления ошибок:
• Асинхронные нагрузки на зону не обрабатывались правильно, когда зональная загрузка уже была выполнена; это может вызвать сбой в zt.c. [RT # 37573]
• Гонка во время выключения или реконфигурации может привести к ошибке утверждения в mem.c. [RT # 38979]
• Некоторые параметры форматирования ответа не работали корректно с dig + short. [RT # 39291]
• Неправильные записи некоторых типов, включая NSAP и UNSPEC, могут приводить к сбоям при загрузке файлов текстовой зоны. [RT # 40274] [RT # 40285]
• Исправлен возможный сбой в ratelimiter.c, вызванный сообщениями NOTIFY, которые были удалены из неправильной очереди ограничения скорости. [RT # 40350]
• Случайный случайный порядок по умолчанию был применен непоследовательно. [RT # 40456]
• Ответы BADVERS от поврежденных авторитетных серверов имен обрабатывались неправильно. [RT # 40427]
<>В реализации RPZ было исправлено несколько ошибок: + Зоны политики, которые специально не требуют рекурсии, можно рассматривать так, как если бы они это делали; следовательно, установка qname-wait-recurse no; иногда оказывалось неэффективным. Это было исправлено. В большинстве конфигураций изменения поведения из-за этого исправления не будут заметны. [RT # 39229] + Сервер может сработать, если зоны политики были обновлены (например, через перезагрузку rndc или передачу входящей зоны), в то время как обработка RPZ все еще продолжалась для активного запроса. [RT # 39415] + На серверах с одной или несколькими политическими зонами, настроенными как подчиненные устройства, если зона политики обновляется во время обычной работы (а не при запуске) с использованием полной перезагрузки зоны, например, через AXFR, ошибка может позволить сводку RPZ данные могут выпасть из синхронизации, что потенциально может привести к ошибке утверждения в rpz.c, когда в зону были добавлены дополнительные инкрементные обновления, например, через IXFR. [RT # 39567] + Сервер может соответствовать более коротким префиксам, чем тот, который был доступен в триггерах политики CLIENT-IP, и поэтому можно было предпринять неожиданные действия. Это было исправлено. [RT # 39481] + Сервер может сработать, если перезагрузка зоны RPZ была инициирована, а другая перезагрузка в той же зоне уже была выполнена.[RT # 39649] + Имена запросов могут совпадать с неправильной политикой, если имеются подстановочные записи. [RT # 40357]