BIND

BIND (Berkeley Internet Name Domain) è un software UNIX a linea di comando che distribuisce un'implementazione open source dei protocolli Domain Name System (DNS). Comprende una libreria resolver, un server / demone chiamato `named ', oltre a strumenti software per testare e verificare il corretto funzionamento dei server DNS.

Originariamente scritto all'Università della California a Berkeley, BIND è stato sottoscritto da numerose organizzazioni, tra cui Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, US Defense Systems Agency, USENIX Association, Process Software Corporation, Nominum, e Stichting NLNet & ndash; NLNet Foundation.

Come menzionato, BIND comprende un server di sistema dei nomi di dominio, una libreria di resolver del sistema di nomi di dominio e strumenti software per testare i server. Mentre l'implementazione del server DNS è incaricata di rispondere a tutte le domande ricevute utilizzando le regole indicate negli standard ufficiali del protocollo DNS, la libreria del resolver DNS risolve le domande sui nomi di dominio.

Sistemi operativi supportati

BIND è stato specificamente progettato per la piattaforma GNU / Linux e dovrebbe funzionare bene con qualsiasi distribuzione di Linux, inclusi Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, openSUSE, Mageia, e molti altri. Supporta entrambe le architetture di set di istruzioni a 32 e 64 bit.

Il progetto è distribuito come un unico tarball universale che include il codice sorgente di BIND, consentendo agli utenti di ottimizzare il software per la loro piattaforma hardware e il loro sistema operativo (vedi sopra per i sistemi operativi e le architetture supportate).

Novità in questa versione:

• Un errore di codifica nella funzione di reindirizzamento nxdomain potrebbe portare a un errore di asserzione se lo spazio dei nomi di reindirizzamento è stato fornito da un'origine dati autorevole locale come una zona locale o una DLZ anziché tramite ricerca ricorsiva. Questo difetto è divulgato in CVE-2016-9778. [RT # 43837]
• Named potrebbe maneggiare in modo errato le sezioni di autorità che mancavano ai RRSIG che attivavano un errore di asserzione. Questo difetto è descritto in CVE-2016-9444. [RT # 43632]
• Nominato come mal gestito alcune risposte in cui i record RRSIG di copertura vengono restituiti senza i dati richiesti risultanti in un errore di asserzione. Questo difetto è descritto in CVE-2016-9147. [RT # 43548]
• Named ha tentato in modo errato di memorizzare nella cache i record TKEY che potevano causare un errore di asserzione in caso di mancata corrispondenza di classe. Questo difetto è divulgato in CVE-2016-9131. [RT # 43522]
• È stato possibile attivare asserzioni durante l'elaborazione di una risposta. Questo difetto è divulgato nel CVE-2016-8864. [RT # 43465]

Novità in nella versione 9.11.2:

• Un errore di codifica nella funzione di reindirizzamento nxdomain potrebbe portare a un errore di asserzione se lo spazio dei nomi di reindirizzamento è stato fornito da un'origine dati autorevole locale come una zona locale o una DLZ anziché tramite ricerca ricorsiva. Questo difetto è divulgato in CVE-2016-9778. [RT # 43837]
• Named potrebbe maneggiare in modo errato le sezioni di autorità che mancavano ai RRSIG che attivavano un errore di asserzione. Questo difetto è descritto in CVE-2016-9444. [RT # 43632]
• Nominato come mal gestito alcune risposte in cui i record RRSIG di copertura vengono restituiti senza i dati richiesti risultanti in un errore di asserzione. Questo difetto è descritto in CVE-2016-9147. [RT # 43548]
• Named ha tentato in modo errato di memorizzare nella cache i record TKEY che potevano causare un errore di asserzione in caso di mancata corrispondenza di classe. Questo difetto è divulgato in CVE-2016-9131. [RT # 43522]
• È stato possibile attivare asserzioni durante l'elaborazione di una risposta. Questo difetto è divulgato nel CVE-2016-8864. [RT # 43465]

Novità nella versione 9.11.1-P3:

• Un errore di codifica nella funzione di reindirizzamento nxdomain potrebbe portare a un errore di asserzione se lo spazio dei nomi di reindirizzamento è stato fornito da un'origine dati autorevole locale come una zona locale o una DLZ anziché tramite ricerca ricorsiva. Questo difetto è divulgato in CVE-2016-9778. [RT # 43837]
• Named potrebbe maneggiare in modo errato le sezioni di autorità che mancavano ai RRSIG che attivavano un errore di asserzione. Questo difetto è descritto in CVE-2016-9444. [RT # 43632]
• Nominato come mal gestito alcune risposte in cui i record RRSIG di copertura vengono restituiti senza i dati richiesti risultanti in un errore di asserzione. Questo difetto è descritto in CVE-2016-9147. [RT # 43548]
• Named ha tentato in modo errato di memorizzare nella cache i record TKEY che potevano causare un errore di asserzione in caso di mancata corrispondenza di classe. Questo difetto è divulgato in CVE-2016-9131. [RT # 43522]
• È stato possibile attivare asserzioni durante l'elaborazione di una risposta. Questo difetto è divulgato nel CVE-2016-8864. [RT # 43465]

Novità nella versione 9.11.1-P1:

• Un errore di codifica nella funzione di reindirizzamento nxdomain potrebbe portare a un errore di asserzione se lo spazio dei nomi di reindirizzamento è stato fornito da un'origine dati autorevole locale come una zona locale o una DLZ anziché tramite ricerca ricorsiva. Questo difetto è divulgato in CVE-2016-9778. [RT # 43837]
• Named potrebbe maneggiare in modo errato le sezioni di autorità che mancavano ai RRSIG che attivavano un errore di asserzione. Questo difetto è descritto in CVE-2016-9444. [RT # 43632]
• Nominato come mal gestito alcune risposte in cui i record RRSIG di copertura vengono restituiti senza i dati richiesti risultanti in un errore di asserzione. Questo difetto è descritto in CVE-2016-9147. [RT # 43548]
• Named ha tentato in modo errato di memorizzare nella cache i record TKEY che potevano causare un errore di asserzione in caso di mancata corrispondenza di classe. Questo difetto è divulgato in CVE-2016-9131. [RT # 43522]
• È stato possibile attivare asserzioni durante l'elaborazione di una risposta. Questo difetto è divulgato nel CVE-2016-8864. [RT # 43465]

Novità nella versione 9.11.1:

• Un errore di codifica nella funzione di reindirizzamento nxdomain potrebbe portare a un errore di asserzione se lo spazio dei nomi di reindirizzamento è stato fornito da un'origine dati autorevole locale come una zona locale o una DLZ anziché tramite ricerca ricorsiva. Questo difetto è divulgato in CVE-2016-9778. [RT # 43837]
• Named potrebbe maneggiare in modo errato le sezioni di autorità che mancavano ai RRSIG che attivavano un errore di asserzione. Questo difetto è descritto in CVE-2016-9444. [RT # 43632]
• Nominato come mal gestito alcune risposte in cui i record RRSIG di copertura vengono restituiti senza i dati richiesti risultanti in un errore di asserzione. Questo difetto è descritto in CVE-2016-9147. [RT # 43548]
• Named ha tentato in modo errato di memorizzare nella cache i record TKEY che potevano causare un errore di asserzione in caso di mancata corrispondenza di classe. Questo difetto è divulgato in CVE-2016-9131. [RT # 43522]
• È stato possibile attivare asserzioni durante l'elaborazione di una risposta. Questo difetto è divulgato nel CVE-2016-8864. [RT # 43465]

Novità nella versione 9.11.0-P2:

• Un errore di codifica nella funzione di reindirizzamento di nxdomain potrebbe portare a un errore di asserzione se lo spazio dei nomi di reindirizzamento è stato fornito da un'origine dati autorevole locale come una zona locale o una DLZ anziché tramite la ricerca ricorsiva. Questo difetto è divulgato in CVE-2016-9778. [RT # 43837]
• Named potrebbe maneggiare in modo errato le sezioni di autorità che mancavano ai RRSIG che attivavano un errore di asserzione. Questo difetto è descritto in CVE-2016-9444. [RT # 43632]
• Nominato come mal gestito alcune risposte in cui i record RRSIG di copertura vengono restituiti senza i dati richiesti risultanti in un errore di asserzione. Questo difetto è descritto in CVE-2016-9147. [RT # 43548]
• Named ha tentato in modo errato di memorizzare nella cache i record TKEY che potevano causare un errore di asserzione in caso di mancata corrispondenza di classe. Questo difetto è divulgato in CVE-2016-9131. [RT # 43522]
• È stato possibile attivare asserzioni durante l'elaborazione di una risposta. Questo difetto è divulgato nel CVE-2016-8864. [RT # 43465]

Novità nella versione 9.11.0-P1:

• Correzioni per la sicurezza:
• Un controllo dei limiti errato nel rdatatype OPENPGPKEY potrebbe causare un errore di asserzione. Questo difetto è divulgato nel CVE-2015-5986. [RT # 40286]
• Un errore di contabilità del buffer potrebbe causare un errore di asserzione durante l'analisi di determinate chiavi DNSSEC non valide. Questo difetto è stato scoperto da Hanno Bock del Progetto Fuzzing ed è divulgato nel CVE-2015-5722. [RT # 40212]
• Una query appositamente predisposta potrebbe attivare un errore di asserzione in message.c. Questo difetto è stato scoperto da Jonathan Foote ed è divulgato nel CVE-2015-5477. [RT # 40046]
• Nei server configurati per eseguire la convalida DNSSEC, un errore di asserzione potrebbe essere attivato sulle risposte da un server appositamente configurato. Questo difetto è stato scoperto da Breno Silveira Soares e divulgato nel CVE-2015-4620. [RT # 39795]
• Nuove funzionalità:
• Sono state aggiunte nuove quote per limitare le query inviate dai resolver ricorsivi ai server autorevoli che hanno subito attacchi denial-of-service. Una volta configurate, queste opzioni possono sia ridurre il danno arrecato ai server autoritativi, sia anche evitare l'esaurimento delle risorse che possono essere sperimentate dalle ricorsive quando vengono utilizzate come veicolo per tale attacco. NOTA: queste opzioni non sono disponibili per impostazione predefinita; usa configure --enable-fetchlimit per includerli nella build. + fetches-per-server limita il numero di query simultanee che possono essere inviate a qualsiasi singolo server autorevole. Il valore configurato è un punto di partenza; viene automaticamente regolato verso il basso se il server è parzialmente o completamente non reattivo. L'algoritmo utilizzato per regolare la quota può essere configurato tramite l'opzione fetch-quota-parametri. + fetches-per-zone limita il numero di query simultanee che possono essere inviate per nomi all'interno di un singolo dominio. (Nota: a differenza di "fetches-per-server", questo valore non è auto-tuning.) Sono stati aggiunti anche contatori statistici per tenere traccia del numero di query interessate da tali quote.
• dig + ednsflags ora possono essere utilizzati per impostare flag EDNS ancora da definire nelle richieste DNS.
• dig + [no] ora è possibile utilizzare ednsnegotiation abilitare / disabilitare la negoziazione della versione EDNS.
• È ora disponibile uno switch di configurazione --enable-querytrace per abilitare la tracelogging della query molto prolisso. Questa opzione può essere impostata solo in fase di compilazione. Questa opzione ha un impatto negativo sulle prestazioni e dovrebbe essere utilizzata solo per il debug.
• Modifiche alle funzioni:
• Le modifiche di firma inline di grandi dimensioni dovrebbero essere meno dirompenti. La generazione di firme viene ora eseguita in modo incrementale; il numero di firme da generare in ciascun quantum è controllato dal "numero delle firme della firma" ;. [RT # 37927]
• L'estensione sperimentale SIT ora utilizza il punto codice opzione EDNS COOKIE (10) e viene visualizzato come "COOKIE:". Le direttive named.conf esistenti; "request-sit", "sit-secret" e "nosit-udp-size", sono ancora validi e saranno sostituiti da "send-cookie", "cookie-secret" e "nocookie-udp-size" in BIND 9.11 . La direttiva dig attuale "+ sit" è ancora valida e verrà sostituita con "+ cookie" in BIND 9.11.
• Quando si riprova una query via TCP a causa della troncata della prima risposta, dig ora invierà correttamente il valore COOKIE restituito dal server nella risposta precedente. [RT # 39047]
• Il recupero dell'intervallo di porte locali da net.ipv4.ip_local_port_range su Linux ora è supportato.
• Nomi di Active Directory del modulo gc._msdcs. sono ora accettati come nomi di host validi quando si utilizza l'opzione dei nomi di controllo. è ancora limitato a lettere, cifre e trattini.
• I nomi contenenti testo RTF sono ora accettati come nomi host validi nei record PTR nelle zone di ricerca inversa DNS-SD, come specificato in RFC 6763. [RT # 37889]
• Correzioni di bug:
• I carichi di zona asincroni non sono stati gestiti correttamente quando il carico di zona era già in corso; questo potrebbe innescare un crash in zt.c. [RT # 37573]
• Una corsa durante lo spegnimento o la riconfigurazione potrebbe causare un errore di asserzione in mem.c. [RT # 38979]
• Alcune opzioni di formattazione della risposta non funzionavano correttamente con dig + short. [RT # 39291]
• I record non validi di alcuni tipi, tra cui NSAP e INDECEC, potrebbero causare errori di asserzione durante il caricamento dei file delle zone di testo. [RT # 40274] [RT # 40285]
• Risolto un possibile crash in ratelimiter.c causato dai messaggi NOTIFY che venivano rimossi dalla coda del limitatore di velocità errato. [RT # 40350]
• L'ordine di rrset predefinito di random è stato applicato in modo incoerente. [RT # 40456]
• Le risposte BADVERS dai server dei nomi autorevoli non sono state gestite correttamente. [RT # 40427]
<>Diversi bug sono stati corretti nell'implementazione di RPZ: + Le zone di policy che non richiedevano specificamente la ricorsione potevano essere trattate come se lo avessero fatto; di conseguenza, impostazione qname-wait-recurse no; a volte era inefficace. Questo è stato corretto. Nella maggior parte delle configurazioni, le modifiche comportamentali dovute a questa correzione non saranno visibili. [RT # 39229] + Il server potrebbe bloccarsi se le policy zones sono state aggiornate (ad esempio tramite rndc reload o un trasferimento di zone in entrata) mentre l'elaborazione RPZ era ancora in corso per una query attiva. [RT # 39415] + Su server con una o più policy zones configurate come slave, se un'area politica aggiornata durante l'operazione regolare (piuttosto che all'avvio) utilizzando una zona di ricarica completa, come via AXFR, un bug potrebbe consentire il riepilogo di RPZ i dati non sono sincronizzati, causando potenzialmente un errore di asserzione in rpz.c quando sono stati apportati ulteriori aggiornamenti incrementali alla zona, ad esempio tramite IXFR. [RT # 39567] + Il server potrebbe corrispondere a un prefisso più breve di quello che era disponibile nei trigger dei criteri CLIENT-IP e, pertanto, è possibile intraprendere un'azione imprevista. Questo è stato corretto. [RT # 39481] + Il server potrebbe bloccarsi se è stata avviata una ricarica di una zona RPZ mentre era già in corso un'altra ricarica della stessa zona.

[RT # 39649] + I nomi delle query potrebbero corrispondere all'area politica errata se erano presenti i record con caratteri jolly. [RT # 40357]

Novità nella versione 9.11.0:

• Correzioni per la sicurezza:
• Un controllo dei limiti errato nel rdatatype OPENPGPKEY potrebbe causare un errore di asserzione. Questo difetto è divulgato nel CVE-2015-5986. [RT # 40286]
• Un errore di contabilità del buffer potrebbe causare un errore di asserzione durante l'analisi di determinate chiavi DNSSEC non valide. Questo difetto è stato scoperto da Hanno Bock del Progetto Fuzzing ed è divulgato nel CVE-2015-5722. [RT # 40212]
• Una query appositamente predisposta potrebbe attivare un errore di asserzione in message.c. Questo difetto è stato scoperto da Jonathan Foote ed è divulgato nel CVE-2015-5477. [RT # 40046]
• Nei server configurati per eseguire la convalida DNSSEC, un errore di asserzione potrebbe essere attivato sulle risposte da un server appositamente configurato. Questo difetto è stato scoperto da Breno Silveira Soares e divulgato nel CVE-2015-4620. [RT # 39795]
• Nuove funzionalità:
• Sono state aggiunte nuove quote per limitare le query inviate dai resolver ricorsivi ai server autorevoli che hanno subito attacchi denial-of-service. Una volta configurate, queste opzioni possono sia ridurre il danno arrecato ai server autoritativi, sia anche evitare l'esaurimento delle risorse che possono essere sperimentate dalle ricorsive quando vengono utilizzate come veicolo per tale attacco. NOTA: queste opzioni non sono disponibili per impostazione predefinita; usa configure --enable-fetchlimit per includerli nella build. + fetches-per-server limita il numero di query simultanee che possono essere inviate a qualsiasi singolo server autorevole. Il valore configurato è un punto di partenza; viene automaticamente regolato verso il basso se il server è parzialmente o completamente non reattivo. L'algoritmo utilizzato per regolare la quota può essere configurato tramite l'opzione fetch-quota-parametri. + fetches-per-zone limita il numero di query simultanee che possono essere inviate per nomi all'interno di un singolo dominio. (Nota: a differenza di "fetches-per-server", questo valore non è auto-tuning.) Sono stati aggiunti anche contatori statistici per tenere traccia del numero di query interessate da tali quote.
• dig + ednsflags ora possono essere utilizzati per impostare flag EDNS ancora da definire nelle richieste DNS.
• dig + [no] ora è possibile utilizzare ednsnegotiation abilitare / disabilitare la negoziazione della versione EDNS.
• È ora disponibile uno switch di configurazione --enable-querytrace per abilitare la tracelogging della query molto prolisso. Questa opzione può essere impostata solo in fase di compilazione. Questa opzione ha un impatto negativo sulle prestazioni e dovrebbe essere utilizzata solo per il debug.
• Modifiche alle funzioni:
• Le modifiche di firma inline di grandi dimensioni dovrebbero essere meno dirompenti. La generazione di firme viene ora eseguita in modo incrementale; il numero di firme da generare in ciascun quantum è controllato dal "numero delle firme della firma" ;. [RT # 37927]
• L'estensione sperimentale SIT ora utilizza il punto codice opzione EDNS COOKIE (10) e viene visualizzato come "COOKIE:". Le direttive named.conf esistenti; "request-sit", "sit-secret" e "nosit-udp-size", sono ancora validi e saranno sostituiti da "send-cookie", "cookie-secret" e "nocookie-udp-size" in BIND 9.11 . La direttiva dig attuale "+ sit" è ancora valida e verrà sostituita con "+ cookie" in BIND 9.11.
• Quando si riprova una query via TCP a causa della troncata della prima risposta, dig ora invierà correttamente il valore COOKIE restituito dal server nella risposta precedente. [RT # 39047]
• Il recupero dell'intervallo di porte locali da net.ipv4.ip_local_port_range su Linux ora è supportato.
• Nomi di Active Directory del modulo gc._msdcs. sono ora accettati come nomi di host validi quando si utilizza l'opzione dei nomi di controllo. è ancora limitato a lettere, cifre e trattini.
• I nomi contenenti testo RTF sono ora accettati come nomi host validi nei record PTR nelle zone di ricerca inversa DNS-SD, come specificato in RFC 6763. [RT # 37889]
• Correzioni di bug:
• I carichi di zona asincroni non sono stati gestiti correttamente quando il carico di zona era già in corso; questo potrebbe innescare un crash in zt.c. [RT # 37573]
• Una corsa durante lo spegnimento o la riconfigurazione potrebbe causare un errore di asserzione in mem.c. [RT # 38979]
• Alcune opzioni di formattazione della risposta non funzionavano correttamente con dig + short. [RT # 39291]
• I record non validi di alcuni tipi, tra cui NSAP e INDECEC, potrebbero causare errori di asserzione durante il caricamento dei file delle zone di testo. [RT # 40274] [RT # 40285]
• Risolto un possibile crash in ratelimiter.c causato dai messaggi NOTIFY che venivano rimossi dalla coda del limitatore di velocità errato. [RT # 40350]
• L'ordine di rrset predefinito di random è stato applicato in modo incoerente. [RT # 40456]
• Le risposte BADVERS dai server dei nomi autorevoli non sono state gestite correttamente. [RT # 40427]
<>Diversi bug sono stati corretti nell'implementazione di RPZ: + Le zone di policy che non richiedevano specificamente la ricorsione potevano essere trattate come se lo avessero fatto; di conseguenza, impostazione qname-wait-recurse no; a volte era inefficace. Questo è stato corretto. Nella maggior parte delle configurazioni, le modifiche comportamentali dovute a questa correzione non saranno visibili. [RT # 39229] + Il server potrebbe bloccarsi se le policy zones sono state aggiornate (ad esempio tramite rndc reload o un trasferimento di zone in entrata) mentre l'elaborazione RPZ era ancora in corso per una query attiva. [RT # 39415] + Su server con una o più policy zones configurate come slave, se un'area politica aggiornata durante l'operazione regolare (piuttosto che all'avvio) utilizzando una zona di ricarica completa, come via AXFR, un bug potrebbe consentire il riepilogo di RPZ i dati non sono sincronizzati, causando potenzialmente un errore di asserzione in rpz.c quando sono stati apportati ulteriori aggiornamenti incrementali alla zona, ad esempio tramite IXFR. [RT # 39567] + Il server potrebbe corrispondere a un prefisso più breve di quello che era disponibile nei trigger dei criteri CLIENT-IP e, pertanto, è possibile intraprendere un'azione imprevista. Questo è stato corretto. [RT # 39481] + Il server potrebbe bloccarsi se è stata avviata una ricarica di una zona RPZ mentre era già in corso un'altra ricarica della stessa zona.

[RT # 39649] + I nomi delle query potrebbero corrispondere all'area politica errata se erano presenti i record con caratteri jolly. [RT # 40357]

Novità nella versione 9.10.4-P3:

• Correzioni per la sicurezza:
• Un controllo dei limiti errato nel rdatatype OPENPGPKEY potrebbe causare un errore di asserzione. Questo difetto è divulgato nel CVE-2015-5986. [RT # 40286]
• Un errore di contabilità del buffer potrebbe causare un errore di asserzione durante l'analisi di determinate chiavi DNSSEC non valide. Questo difetto è stato scoperto da Hanno Bock del Progetto Fuzzing ed è divulgato nel CVE-2015-5722. [RT # 40212]
• Una query appositamente predisposta potrebbe attivare un errore di asserzione in message.c. Questo difetto è stato scoperto da Jonathan Foote ed è divulgato nel CVE-2015-5477. [RT # 40046]
• Nei server configurati per eseguire la convalida DNSSEC, un errore di asserzione potrebbe essere attivato sulle risposte da un server appositamente configurato. Questo difetto è stato scoperto da Breno Silveira Soares e divulgato nel CVE-2015-4620. [RT # 39795]
• Nuove funzionalità:
• Sono state aggiunte nuove quote per limitare le query inviate dai resolver ricorsivi ai server autorevoli che hanno subito attacchi denial-of-service. Una volta configurate, queste opzioni possono sia ridurre il danno arrecato ai server autoritativi, sia anche evitare l'esaurimento delle risorse che possono essere sperimentate dalle ricorsive quando vengono utilizzate come veicolo per tale attacco. NOTA: queste opzioni non sono disponibili per impostazione predefinita; usa configure --enable-fetchlimit per includerli nella build. + fetches-per-server limita il numero di query simultanee che possono essere inviate a qualsiasi singolo server autorevole. Il valore configurato è un punto di partenza; viene automaticamente regolato verso il basso se il server è parzialmente o completamente non reattivo. L'algoritmo utilizzato per regolare la quota può essere configurato tramite l'opzione fetch-quota-parametri. + fetches-per-zone limita il numero di query simultanee che possono essere inviate per nomi all'interno di un singolo dominio. (Nota: a differenza di "fetches-per-server", questo valore non è auto-tuning.) Sono stati aggiunti anche contatori statistici per tenere traccia del numero di query interessate da tali quote.
• dig + ednsflags ora possono essere utilizzati per impostare flag EDNS ancora da definire nelle richieste DNS.
• dig + [no] ora è possibile utilizzare ednsnegotiation abilitare / disabilitare la negoziazione della versione EDNS.
• È ora disponibile uno switch di configurazione --enable-querytrace per abilitare la tracelogging della query molto prolisso. Questa opzione può essere impostata solo in fase di compilazione. Questa opzione ha un impatto negativo sulle prestazioni e dovrebbe essere utilizzata solo per il debug.
• Modifiche alle funzioni:
• Le modifiche di firma inline di grandi dimensioni dovrebbero essere meno dirompenti. La generazione di firme viene ora eseguita in modo incrementale; il numero di firme da generare in ciascun quantum è controllato dal "numero delle firme della firma" ;. [RT # 37927]
• L'estensione sperimentale SIT ora utilizza il punto codice opzione EDNS COOKIE (10) e viene visualizzato come "COOKIE:". Le direttive named.conf esistenti; "request-sit", "sit-secret" e "nosit-udp-size", sono ancora validi e saranno sostituiti da "send-cookie", "cookie-secret" e "nocookie-udp-size" in BIND 9.11 . La direttiva dig attuale "+ sit" è ancora valida e verrà sostituita con "+ cookie" in BIND 9.11.
• Quando si riprova una query via TCP a causa della troncata della prima risposta, dig ora invierà correttamente il valore COOKIE restituito dal server nella risposta precedente. [RT # 39047]
• Il recupero dell'intervallo di porte locali da net.ipv4.ip_local_port_range su Linux ora è supportato.
• Nomi di Active Directory del modulo gc._msdcs. sono ora accettati come nomi di host validi quando si utilizza l'opzione dei nomi di controllo. è ancora limitato a lettere, cifre e trattini.
• I nomi contenenti testo RTF sono ora accettati come nomi host validi nei record PTR nelle zone di ricerca inversa DNS-SD, come specificato in RFC 6763. [RT # 37889]
• Correzioni di bug:
• I carichi di zona asincroni non sono stati gestiti correttamente quando il carico di zona era già in corso; questo potrebbe innescare un crash in zt.c. [RT # 37573]
• Una corsa durante lo spegnimento o la riconfigurazione potrebbe causare un errore di asserzione in mem.c. [RT # 38979]
• Alcune opzioni di formattazione della risposta non funzionavano correttamente con dig + short. [RT # 39291]
• I record non validi di alcuni tipi, tra cui NSAP e INDECEC, potrebbero causare errori di asserzione durante il caricamento dei file delle zone di testo. [RT # 40274] [RT # 40285]
• Risolto un possibile crash in ratelimiter.c causato dai messaggi NOTIFY che venivano rimossi dalla coda del limitatore di velocità errato. [RT # 40350]
• L'ordine di rrset predefinito di random è stato applicato in modo incoerente. [RT # 40456]
• Le risposte BADVERS dai server dei nomi autorevoli non sono state gestite correttamente. [RT # 40427]
<>Diversi bug sono stati corretti nell'implementazione di RPZ: + Le zone di policy che non richiedevano specificamente la ricorsione potevano essere trattate come se lo avessero fatto; di conseguenza, impostazione qname-wait-recurse no; a volte era inefficace. Questo è stato corretto. Nella maggior parte delle configurazioni, le modifiche comportamentali dovute a questa correzione non saranno visibili. [RT # 39229] + Il server potrebbe bloccarsi se le policy zones sono state aggiornate (ad esempio tramite rndc reload o un trasferimento di zone in entrata) mentre l'elaborazione RPZ era ancora in corso per una query attiva. [RT # 39415] + Su server con una o più policy zones configurate come slave, se un'area politica aggiornata durante l'operazione regolare (piuttosto che all'avvio) utilizzando una zona di ricarica completa, come via AXFR, un bug potrebbe consentire il riepilogo di RPZ i dati non sono sincronizzati, causando potenzialmente un errore di asserzione in rpz.c quando sono stati apportati ulteriori aggiornamenti incrementali alla zona, ad esempio tramite IXFR. [RT # 39567] + Il server potrebbe corrispondere a un prefisso più breve di quello che era disponibile nei trigger dei criteri CLIENT-IP e, pertanto, è possibile intraprendere un'azione imprevista. Questo è stato corretto. [RT # 39481] + Il server potrebbe bloccarsi se è stata avviata una ricarica di una zona RPZ mentre era già in corso un'altra ricarica della stessa zona.[RT # 39649] + I nomi delle query potrebbero corrispondere all'area della politica sbagliata se erano presenti record di caratteri jolly. [RT # 40357]