BIND

BIND (Berkeley Internet Name Domain) er en UNIX-kommandolinje som distribuerer en åpen kildekodeimplementering av DNS-protokollene. Den består av et resolverbibliotek, en server / daemon kalt `navngitt ', samt programvareverktøy for testing og verifisering av riktig drift av DNS-serverne.

BIND ble opprinnelig skrevet ved University of California i Berkeley, og ble gjennomført av mange organisasjoner, blant annet Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, US Defense Information Systems Agency, USENIX Association, Process Software Corporation, Nominum, og Stichting NLNet & ndash; NLNet Foundation.

Hva er inkludert?

Som nevnt består BIND av et domenenavnssystem server, et domenenavn system resolver bibliotek og programvareverktøy for testing av servere. Mens DNS-server-implementeringen har ansvaret for å svare på alle mottatte spørsmål ved å bruke reglene angitt i de offisielle DNS-protokollstandardene, løser DNS-resolverbiblioteket spørsmål om domenenavn.

Støttede operativsystemer

BIND har blitt spesielt utviklet for GNU / Linux-plattformen, og den burde fungere godt med enhver distribusjon av Linux, inkludert Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, openSUSE, Mageia, og mange andre. Den støtter både 32-biters og 64-bits instruksjonsarkitekturer.

Prosjektet distribueres som en enkelt universell tarball som inneholder kildekoden til BIND, slik at brukerne kan optimalisere programvaren for maskinvareplattformen og operativsystemet (se ovenfor for støttede operativsystemer og arkitekturer).

Hva er nytt i denne versjonen:

• En kodingsfeil i nxdomain-redirect-funksjonen kan føre til en påstandssvikt hvis omadresseringsnavnet ble servert fra en lokal autoritativ datakilde, for eksempel en lokal sone eller en DLZ i stedet for via rekursiv oppslag. Denne feilen er beskrevet i CVE-2016-9778. [RT # 43837]
• Navngitt kunne mislykkes autoritetsseksjoner som manglet RRSIGs som utløser et påståelsesfeil. Denne feilen er beskrevet i CVE-2016-9444. [RT # 43632]
• Navngitt mishandled noen svar hvor dekker RRSIG-poster returneres uten de forespurte dataene som resulterer i et påstått feil. Denne feilen er beskrevet i CVE-2016-9147. [RT # 43548]
• Navngitt feil prøvde å cache TKEY-poster som kan utløse en påstandssvikt når det oppstod en feil i klassen. Denne feilen er beskrevet i CVE-2016-9131. [RT # 43522]
• Det var mulig å utløse påstander ved behandling av et svar. Denne feilen er beskrevet i CVE-2016-8864. [RT # 43465]

Hva er nytt i versjon 9.11.2:

• En kodingsfeil i nxdomain-redirect-funksjonen kan føre til en påstandssvikt hvis omadresseringsnavnet ble servert fra en lokal autoritativ datakilde, for eksempel en lokal sone eller en DLZ i stedet for via rekursiv oppslag. Denne feilen er beskrevet i CVE-2016-9778. [RT # 43837]
• Navngitt kunne mislykkes autoritetsseksjoner som manglet RRSIGs som utløser et påståelsesfeil. Denne feilen er beskrevet i CVE-2016-9444. [RT # 43632]
• Navngitt mishandled noen svar hvor dekker RRSIG-poster returneres uten de forespurte dataene som resulterer i et påstått feil. Denne feilen er beskrevet i CVE-2016-9147. [RT # 43548]
• Navngitt feil prøvde å cache TKEY-poster som kan utløse en påstandssvikt når det oppstod en feil i klassen. Denne feilen er beskrevet i CVE-2016-9131. [RT # 43522]
• Det var mulig å utløse påstander ved behandling av et svar. Denne feilen er beskrevet i CVE-2016-8864. [RT # 43465]

Hva er nytt i versjon 9.11.1-P3:

• En kodingsfeil i nxdomain-redirect-funksjonen kan føre til en påstandssvikt hvis omadresseringsnavnet ble servert fra en lokal autoritativ datakilde, for eksempel en lokal sone eller en DLZ i stedet for via rekursiv oppslag. Denne feilen er beskrevet i CVE-2016-9778. [RT # 43837]
• Navngitt kunne mislykkes autoritetsseksjoner som manglet RRSIGs som utløser et påståelsesfeil. Denne feilen er beskrevet i CVE-2016-9444. [RT # 43632]
• Navngitt mishandled noen svar hvor dekker RRSIG-poster returneres uten de forespurte dataene som resulterer i et påstått feil. Denne feilen er beskrevet i CVE-2016-9147. [RT # 43548]
• Navngitt feil prøvde å cache TKEY-poster som kan utløse en påstandssvikt når det oppstod en feil i klassen. Denne feilen er beskrevet i CVE-2016-9131. [RT # 43522]
• Det var mulig å utløse påstander ved behandling av et svar. Denne feilen er beskrevet i CVE-2016-8864. [RT # 43465]

Hva er nytt i versjon 9.11.1-P1:

• En kodingsfeil i nxdomain-redirect-funksjonen kan føre til en påstandssvikt hvis omadresseringsnavnet ble servert fra en lokal autoritativ datakilde, for eksempel en lokal sone eller en DLZ i stedet for via rekursiv oppslag. Denne feilen er beskrevet i CVE-2016-9778. [RT # 43837]
• Navngitt kunne mislykkes autoritetsseksjoner som manglet RRSIGs som utløser et påståelsesfeil. Denne feilen er beskrevet i CVE-2016-9444. [RT # 43632]
• Navngitt mishandled noen svar hvor dekker RRSIG-poster returneres uten de forespurte dataene som resulterer i et påstått feil. Denne feilen er beskrevet i CVE-2016-9147. [RT # 43548]
• Navngitt feil prøvde å cache TKEY-poster som kan utløse en påstandssvikt når det oppstod en feil i klassen. Denne feilen er beskrevet i CVE-2016-9131. [RT # 43522]
• Det var mulig å utløse påstander ved behandling av et svar. Denne feilen er beskrevet i CVE-2016-8864. [RT # 43465]

Hva er nytt i versjon 9.11.1:

• En kodingsfeil i nxdomain-redirect-funksjonen kan føre til en påstandssvikt hvis omadresseringsnavnet ble servert fra en lokal autoritativ datakilde, for eksempel en lokal sone eller en DLZ i stedet for via rekursiv oppslag. Denne feilen er beskrevet i CVE-2016-9778. [RT # 43837]
• Navngitt kunne mislykkes autoritetsseksjoner som manglet RRSIGs som utløser et påståelsesfeil. Denne feilen er beskrevet i CVE-2016-9444. [RT # 43632]
• Navngitt mishandled noen svar hvor dekker RRSIG-poster returneres uten de forespurte dataene som resulterer i et påstått feil. Denne feilen er beskrevet i CVE-2016-9147. [RT # 43548]
• Navngitt feil prøvde å cache TKEY-poster som kan utløse en påstandssvikt når det oppstod en feil i klassen. Denne feilen er beskrevet i CVE-2016-9131. [RT # 43522]
• Det var mulig å utløse påstander ved behandling av et svar. Denne feilen er beskrevet i CVE-2016-8864. [RT # 43465]

Hva er nytt i versjon 9.11.0-P2:

• En kodingsfeil i nxdomain-redirect-funksjonen kan føre til en påstandssvikt hvis omadresseringsnavnet ble servert fra en lokal autoritativ datakilde, for eksempel en lokal sone eller en DLZ i stedet for via rekursiv oppslag. Denne feilen er beskrevet i CVE-2016-9778. [RT # 43837]
• Navngitt kunne mislykkes autoritetsseksjoner som manglet RRSIGs som utløser et påståelsesfeil. Denne feilen er beskrevet i CVE-2016-9444. [RT # 43632]
• Navngitt mishandled noen svar hvor dekker RRSIG-poster returneres uten de forespurte dataene som resulterer i et påstått feil. Denne feilen er beskrevet i CVE-2016-9147. [RT # 43548]
• Navngitt feil prøvde å cache TKEY-poster som kan utløse en påstandssvikt når det oppstod en feil i klassen. Denne feilen er beskrevet i CVE-2016-9131. [RT # 43522]
• Det var mulig å utløse påstander ved behandling av et svar. Denne feilen er beskrevet i CVE-2016-8864. [RT # 43465]

Hva er nytt i versjon 9.11.0-P1:

• Sikkerhetsoppdateringer:
• En feil grensekontroll i OPENPGPKEY rdatatype kan utløse en påstandssvikt. Denne feilen er beskrevet i CVE-2015-5986. [RT # 40286]
• En bufferregnskapsfeil kan utløse en påstandssvikt ved analyse av visse feilformede DNSSEC-nøkler. Denne feilen ble oppdaget av Hanno Bock fra Fuzzing Project, og er beskrevet i CVE-2015-5722. [RT # 40212]
• En spesiallaget søk kan utløse en påstandssvikt i message.c. Denne feilen ble oppdaget av Jonathan Foote, og er beskrevet i CVE-2015-5477. [RT # 40046]
• På servere som er konfigurert til å utføre DNSSEC-validering, kan en påstandssvikt utløses på svar fra en spesielt konfigurert server. Denne feilen ble oppdaget av Breno Silveira Soares, og er beskrevet i CVE-2015-4620. [RT # 39795]
• Nye funksjoner:
• Nye kvoter har blitt lagt til for å begrense spørringene som sendes av rekursive resolvere til autoritative servere som opplever angrep på tjenesten. Når de er konfigurert, kan disse alternativene både redusere skadene til autoriserte servere og også unngå ressursutmattelsen som kan oppleves av rekursiver når de blir brukt som et kjøretøy for et slikt angrep. MERK: Disse alternativene er ikke tilgjengelige som standard; bruk configure -enable-fetchlimit for å inkludere dem i bygningen. + henter-per-server begrenser antallet samtidige spørringer som kan sendes til en enkelt autoritativ server. Den konfigurerte verdien er et utgangspunkt; Den justeres automatisk nedover hvis serveren er delvis eller fullstendig ikke-responsiv. Algoritmen som brukes til å justere kvoten kan konfigureres via alternativet hent-kvote-parameter. + fetches-per-zone begrenser antallet samtidige spørringer som kan sendes for navn i et enkelt domene. (Merk: I motsetning til "henter-per-server", er denne verdien ikke selvjusterende.) Statistikk tellere er også lagt til for å spore antall spørsmål som berøres av disse kvotene.
• graver + ednsflags kan nå brukes til å angi yet-to-be-definerte EDNS flagg i DNS-forespørsler.
• graver + [no] ednsnegotiation kan nå brukes aktivere / deaktivere EDNS versjon forhandling.
• En konfigurasjonsbryter for -enable-querytrace er nå tilgjengelig for å aktivere veldig ordentlig spørringslogg. Dette alternativet kan bare settes på kompileringstidspunktet. Dette alternativet har en negativ resultatpåvirkning og bør bare brukes til feilsøking.
• Funksjonsendringer:
• Store inline-signeringsendringer bør være mindre forstyrrende. Signaturgenerering er nå gjort trinnvis; Antall signaturer som skal genereres i hvert kvantum, styres av "signatur-signaturnummer". [RT # 37927]
• Den eksperimentelle SIT-utvidelsen bruker nå alternativkodepunktet EDNS COOKIE (10) og vises som "COOKIE:". De eksisterende named.conf-direktiver; "request-sit", "sit-secret" og "nosit-udp-size" er fortsatt gyldige og vil bli erstattet av "send-cookie", "cookie-secret" og "nocookie-udp-size" i BIND 9.11 . Eksisterende graveredirektivet "+ sit" er fortsatt gyldig og vil bli erstattet med "+ cookie" i BIND 9.11.
• Når du forsøker et søk via TCP på grunn av at det første svaret blir avkortet, vil graven nå sende COOKIE-verdien returnert av serveren i forrige svar. [RT # 39047]
• Henting av det lokale portområdet fra net.ipv4.ip_local_port_range på Linux støttes nå.
• Active Directory-navn på skjemaet gc._msdcs. er nå akseptert som gyldige vertsnavn når du bruker alternativene for sjekker. er fortsatt begrenset til bokstaver, sifre og bindestreker.
• Navne som inneholder rik tekst, aksepteres nå som gyldige vertsnavn i PTR-poster i DNS-SD-omvendt oppslagssoner, som angitt i RFC 6763. [RT # 37889]
• Feilrettelser:
• Asynkron sonebelastning ble ikke håndtert riktig når sonebelastningen allerede var i gang; Dette kan utløse en krasj i zt.c. [RT # 37573]
• Et løp under avstenging eller omkonfigurering kan føre til en feilsøking i mem.c. [RT # 38979]
• Enkelte svarformateringsalternativer fungerte ikke korrekt med graving + kort. [RT # 39291]
• Misdannede poster av enkelte typer, inkludert NSAP og UNSPEC, kan utløse påståelsesfeil ved lasting av tekstsonefiler. [RT # 40274] [RT # 40285]
• Fiks en mulig krasj i ratelimiter.c forårsaket av at NOTIFY meldinger fjernes fra feilkriteriekøen. [RT # 40350]
• Den vanlige rrset-rekkefølgen av tilfeldig ble brukt inkonsekvent. [RT # 40456]
• BADVERS-svar fra ødelagte autoritative navneservere ble ikke håndtert riktig. [RT # 40427]
<>Flere feil har blitt løst i RPZ-implementeringen: + Policyzoner som ikke spesifikt krever rekursjon, kunne behandles som om de gjorde det; Følgelig setter du qname-wait-recurse no; var noen ganger ineffektiv. Dette er blitt korrigert. I de fleste konfigurasjoner vil endringer i atferd som følge av denne løsningen ikke bli merkbar. [RT # 39229] + Serveren kan krasje hvis policyområdene ble oppdatert (for eksempel via rndc reload eller en innkommende soneoverføring) mens RPZ-prosessering fortsatt var pågående for en aktiv spørring. [RT # 39415] + På servere med en eller flere policysoner konfigurert som slaver, hvis en policy-sone som oppdateres under vanlig drift (i stedet for ved oppstart) ved hjelp av en full soneopplasting, for eksempel via AXFR, kan en feil tillate RPZ-sammendraget data som faller ut av synkronisering, som potensielt fører til et ansvarsfeil i rpz.c når ytterligere inkrementelle oppdateringer ble gjort til sonen, for eksempel via IXFR. [RT # 39567] + Serveren kan samsvare med et kortere prefiks enn det som var tilgjengelig i klient-IP-utløsere, og det kan derfor treffes en uventet handling. Dette er blitt korrigert. [RT # 39481] + Serveren kunne krasje hvis en omlastning av en RPZ-sone ble startet mens en annen oppdatering av samme sone allerede var i gang.

[RT # 39649] + Forespørselsnavn kan samsvare med feil policy-sone dersom wildcard-poster var tilstede. [RT # 40357]

Hva er nytt i versjon 9.11.0:

• Sikkerhetsoppdateringer:
• En feil grensekontroll i OPENPGPKEY rdatatype kan utløse en påstandssvikt. Denne feilen er beskrevet i CVE-2015-5986. [RT # 40286]
• En bufferregnskapsfeil kan utløse en påstandssvikt ved analyse av visse feilformede DNSSEC-nøkler. Denne feilen ble oppdaget av Hanno Bock fra Fuzzing Project, og er beskrevet i CVE-2015-5722. [RT # 40212]
• En spesiallaget søk kan utløse en påstandssvikt i message.c. Denne feilen ble oppdaget av Jonathan Foote, og er beskrevet i CVE-2015-5477. [RT # 40046]
• På servere som er konfigurert til å utføre DNSSEC-validering, kan en påstandssvikt utløses på svar fra en spesielt konfigurert server. Denne feilen ble oppdaget av Breno Silveira Soares, og er beskrevet i CVE-2015-4620. [RT # 39795]
• Nye funksjoner:
• Nye kvoter har blitt lagt til for å begrense spørringene som sendes av rekursive resolvere til autoritative servere som opplever angrep på tjenesten. Når de er konfigurert, kan disse alternativene både redusere skadene til autoriserte servere og også unngå ressursutmattelsen som kan oppleves av rekursiver når de blir brukt som et kjøretøy for et slikt angrep. MERK: Disse alternativene er ikke tilgjengelige som standard; bruk configure -enable-fetchlimit for å inkludere dem i bygningen. + henter-per-server begrenser antallet samtidige spørringer som kan sendes til en enkelt autoritativ server. Den konfigurerte verdien er et utgangspunkt; Den justeres automatisk nedover hvis serveren er delvis eller fullstendig ikke-responsiv. Algoritmen som brukes til å justere kvoten kan konfigureres via alternativet hent-kvote-parameter. + fetches-per-zone begrenser antallet samtidige spørringer som kan sendes for navn i et enkelt domene. (Merk: I motsetning til "henter-per-server", er denne verdien ikke selvjusterende.) Statistikk tellere er også lagt til for å spore antall spørsmål som berøres av disse kvotene.
• graver + ednsflags kan nå brukes til å angi yet-to-be-definerte EDNS flagg i DNS-forespørsler.
• graver + [no] ednsnegotiation kan nå brukes aktivere / deaktivere EDNS versjon forhandling.
• En konfigurasjonsbryter for -enable-querytrace er nå tilgjengelig for å aktivere veldig ordentlig spørringslogg. Dette alternativet kan bare settes på kompileringstidspunktet. Dette alternativet har en negativ resultatpåvirkning og bør bare brukes til feilsøking.
• Funksjonsendringer:
• Store inline-signeringsendringer bør være mindre forstyrrende. Signaturgenerering er nå gjort trinnvis; Antall signaturer som skal genereres i hvert kvantum, styres av "signatur-signaturnummer". [RT # 37927]
• Den eksperimentelle SIT-utvidelsen bruker nå alternativkodepunktet EDNS COOKIE (10) og vises som "COOKIE:". De eksisterende named.conf-direktiver; "request-sit", "sit-secret" og "nosit-udp-size" er fortsatt gyldige og vil bli erstattet av "send-cookie", "cookie-secret" og "nocookie-udp-size" i BIND 9.11 . Eksisterende graveredirektivet "+ sit" er fortsatt gyldig og vil bli erstattet med "+ cookie" i BIND 9.11.
• Når du forsøker et søk via TCP på grunn av at det første svaret blir avkortet, vil graven nå sende COOKIE-verdien returnert av serveren i forrige svar. [RT # 39047]
• Henting av det lokale portområdet fra net.ipv4.ip_local_port_range på Linux støttes nå.
• Active Directory-navn på skjemaet gc._msdcs. er nå akseptert som gyldige vertsnavn når du bruker alternativene for sjekker. er fortsatt begrenset til bokstaver, sifre og bindestreker.
• Navne som inneholder rik tekst, aksepteres nå som gyldige vertsnavn i PTR-poster i DNS-SD-omvendt oppslagssoner, som angitt i RFC 6763. [RT # 37889]
• Feilrettelser:
• Asynkron sonebelastning ble ikke håndtert riktig når sonebelastningen allerede var i gang; Dette kan utløse en krasj i zt.c. [RT # 37573]
• Et løp under avstenging eller omkonfigurering kan føre til en feilsøking i mem.c. [RT # 38979]
• Enkelte svarformateringsalternativer fungerte ikke korrekt med graving + kort. [RT # 39291]
• Misdannede poster av enkelte typer, inkludert NSAP og UNSPEC, kan utløse påståelsesfeil ved lasting av tekstsonefiler. [RT # 40274] [RT # 40285]
• Fiks en mulig krasj i ratelimiter.c forårsaket av at NOTIFY meldinger fjernes fra feilkriteriekøen. [RT # 40350]
• Den vanlige rrset-rekkefølgen av tilfeldig ble brukt inkonsekvent. [RT # 40456]
• BADVERS-svar fra ødelagte autoritative navneservere ble ikke håndtert riktig. [RT # 40427]
<>Flere feil har blitt løst i RPZ-implementeringen: + Policyzoner som ikke spesifikt krever rekursjon, kunne behandles som om de gjorde det; Følgelig setter du qname-wait-recurse no; var noen ganger ineffektiv. Dette er blitt korrigert. I de fleste konfigurasjoner vil endringer i atferd som følge av denne løsningen ikke bli merkbar. [RT # 39229] + Serveren kan krasje hvis policyområdene ble oppdatert (for eksempel via rndc reload eller en innkommende soneoverføring) mens RPZ-prosessering fortsatt var pågående for en aktiv spørring. [RT # 39415] + På servere med en eller flere policysoner konfigurert som slaver, hvis en policy-sone som oppdateres under vanlig drift (i stedet for ved oppstart) ved hjelp av en full soneopplasting, for eksempel via AXFR, kan en feil tillate RPZ-sammendraget data som faller ut av synkronisering, som potensielt fører til et ansvarsfeil i rpz.c når ytterligere inkrementelle oppdateringer ble gjort til sonen, for eksempel via IXFR. [RT # 39567] + Serveren kan samsvare med et kortere prefiks enn det som var tilgjengelig i klient-IP-utløsere, og det kan derfor treffes en uventet handling. Dette er blitt korrigert. [RT # 39481] + Serveren kunne krasje hvis en omlastning av en RPZ-sone ble startet mens en annen oppdatering av samme sone allerede var i gang.

[RT # 39649] + Forespørselsnavn kan samsvare med feil policy-sone dersom wildcard-poster var tilstede. [RT # 40357]

Hva er nytt i versjon 9.10.4-P3:

• Sikkerhetsoppdateringer:
• En feil grensekontroll i OPENPGPKEY rdatatype kan utløse en påstandssvikt. Denne feilen er beskrevet i CVE-2015-5986. [RT # 40286]
• En bufferregnskapsfeil kan utløse en påstandssvikt ved analyse av visse feilformede DNSSEC-nøkler. Denne feilen ble oppdaget av Hanno Bock fra Fuzzing Project, og er beskrevet i CVE-2015-5722. [RT # 40212]
• En spesiallaget søk kan utløse en påstandssvikt i message.c. Denne feilen ble oppdaget av Jonathan Foote, og er beskrevet i CVE-2015-5477. [RT # 40046]
• På servere som er konfigurert til å utføre DNSSEC-validering, kan en påstandssvikt utløses på svar fra en spesielt konfigurert server. Denne feilen ble oppdaget av Breno Silveira Soares, og er beskrevet i CVE-2015-4620. [RT # 39795]
• Nye funksjoner:
• Nye kvoter har blitt lagt til for å begrense spørringene som sendes av rekursive resolvere til autoritative servere som opplever angrep på tjenesten. Når de er konfigurert, kan disse alternativene både redusere skadene til autoriserte servere og også unngå ressursutmattelsen som kan oppleves av rekursiver når de blir brukt som et kjøretøy for et slikt angrep. MERK: Disse alternativene er ikke tilgjengelige som standard; bruk configure -enable-fetchlimit for å inkludere dem i bygningen. + henter-per-server begrenser antallet samtidige spørringer som kan sendes til en enkelt autoritativ server. Den konfigurerte verdien er et utgangspunkt; Den justeres automatisk nedover hvis serveren er delvis eller fullstendig ikke-responsiv. Algoritmen som brukes til å justere kvoten kan konfigureres via alternativet hent-kvote-parameter. + fetches-per-zone begrenser antallet samtidige spørringer som kan sendes for navn i et enkelt domene. (Merk: I motsetning til "henter-per-server", er denne verdien ikke selvjusterende.) Statistikk tellere er også lagt til for å spore antall spørsmål som berøres av disse kvotene.
• graver + ednsflags kan nå brukes til å angi yet-to-be-definerte EDNS flagg i DNS-forespørsler.
• graver + [no] ednsnegotiation kan nå brukes aktivere / deaktivere EDNS versjon forhandling.
• En konfigurasjonsbryter for -enable-querytrace er nå tilgjengelig for å aktivere veldig ordentlig spørringslogg. Dette alternativet kan bare settes på kompileringstidspunktet. Dette alternativet har en negativ resultatpåvirkning og bør bare brukes til feilsøking.
• Funksjonsendringer:
• Store inline-signeringsendringer bør være mindre forstyrrende. Signaturgenerering er nå gjort trinnvis; Antall signaturer som skal genereres i hvert kvantum, styres av "signatur-signaturnummer". [RT # 37927]
• Den eksperimentelle SIT-utvidelsen bruker nå alternativkodepunktet EDNS COOKIE (10) og vises som "COOKIE:". De eksisterende named.conf-direktiver; "request-sit", "sit-secret" og "nosit-udp-size" er fortsatt gyldige og vil bli erstattet av "send-cookie", "cookie-secret" og "nocookie-udp-size" i BIND 9.11 . Eksisterende graveredirektivet "+ sit" er fortsatt gyldig og vil bli erstattet med "+ cookie" i BIND 9.11.
• Når du forsøker et søk via TCP på grunn av at det første svaret blir avkortet, vil graven nå sende COOKIE-verdien returnert av serveren i forrige svar. [RT # 39047]
• Henting av det lokale portområdet fra net.ipv4.ip_local_port_range på Linux støttes nå.
• Active Directory-navn på skjemaet gc._msdcs. er nå akseptert som gyldige vertsnavn når du bruker alternativene for sjekker. er fortsatt begrenset til bokstaver, sifre og bindestreker.
• Navne som inneholder rik tekst, aksepteres nå som gyldige vertsnavn i PTR-poster i DNS-SD-omvendt oppslagssoner, som angitt i RFC 6763. [RT # 37889]
• Feilrettelser:
• Asynkron sonebelastning ble ikke håndtert riktig når sonebelastningen allerede var i gang; Dette kan utløse en krasj i zt.c. [RT # 37573]
• Et løp under avstenging eller omkonfigurering kan føre til en feilsøking i mem.c. [RT # 38979]
• Enkelte svarformateringsalternativer fungerte ikke korrekt med graving + kort. [RT # 39291]
• Misdannede poster av enkelte typer, inkludert NSAP og UNSPEC, kan utløse påståelsesfeil ved lasting av tekstsonefiler. [RT # 40274] [RT # 40285]
• Fiks en mulig krasj i ratelimiter.c forårsaket av at NOTIFY meldinger fjernes fra feilkriteriekøen. [RT # 40350]
• Den vanlige rrset-rekkefølgen av tilfeldig ble brukt inkonsekvent. [RT # 40456]
• BADVERS-svar fra ødelagte autoritative navneservere ble ikke håndtert riktig. [RT # 40427]
<>Flere feil har blitt løst i RPZ-implementeringen: + Policyzoner som ikke spesifikt krever rekursjon, kunne behandles som om de gjorde det; Følgelig setter du qname-wait-recurse no; var noen ganger ineffektiv. Dette er blitt korrigert. I de fleste konfigurasjoner vil endringer i atferd som følge av denne løsningen ikke bli merkbar. [RT # 39229] + Serveren kan krasje hvis policyområdene ble oppdatert (for eksempel via rndc reload eller en innkommende soneoverføring) mens RPZ-prosessering fortsatt var pågående for en aktiv spørring. [RT # 39415] + På servere med en eller flere policysoner konfigurert som slaver, hvis en policy-sone som oppdateres under vanlig drift (i stedet for ved oppstart) ved hjelp av en full soneopplasting, for eksempel via AXFR, kan en feil tillate RPZ-sammendraget data som faller ut av synkronisering, som potensielt fører til et ansvarsfeil i rpz.c når ytterligere inkrementelle oppdateringer ble gjort til sonen, for eksempel via IXFR. [RT # 39567] + Serveren kan samsvare med et kortere prefiks enn det som var tilgjengelig i klient-IP-utløsere, og det kan derfor treffes en uventet handling. Dette er blitt korrigert. [RT # 39481] + Serveren kunne krasje hvis en omlastning av en RPZ-sone ble startet mens en annen oppdatering av samme sone allerede var i gang.[RT # 39649] + Forespørselsnavn kan samsvare med feil policy-sone dersom jokertegn var tilstede. [RT # 40357]