[ON] Обновление DNS-сервера BIND c устранением уязвимости в реализации DNS-over-HTTPS

[rssbot]

Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.16.28 и 9.18.3, а также новый выпуск экспериментальной ветки 9.19.1. В версиях 9.18.3 и 9.19.1 устранена уязвимость (CVE-2022-1183) в реализации механизма DNS-over-HTTPS, поддерживаемого начиная с ветки 9.18. Уязвимость приводит к аварийному завершению процесса named в случае, если TLS-соединение к обработчику на базе протокола HTTP будет досрочно оборвано. Проблема затрагивает только серверы, обслуживающие запросы DNS over HTTPS (DoH). Серверы, принимающие запросы по DNS over TLS (DoT) и не использующие DoH, проблеме не подвержены.


В выпуске 9.18.3 также добавлено несколько функциональных улучшений. Добавлена поддержка второй версии каталога зон ("Catalog Zones"), определённой в пятом черновике спецификации IETF. Каталог зон предлагает новый метод поддержания вторичных DNS-серверов, в котором вместо определения на вторичном сервере отдельных записей для каждой вторичной зоны, между первичным и вторичным серверами организуется передача определённого набора вторичных зон. Т.е. настроив трансфер каталога по аналогии с передачей отдельных зон, заводимые на первичном сервере зоны, помеченные как входящие в каталог, будут автоматически создаваться на вторичном сервере без необходимости правки файлов конфигурации.


В новой версии также добавлена поддержка расширенных кодов ошибок "Stale Answer" и "Stale NXDOMAIN Answer", выдаваемых, когда устаревший ответ возвращён из кэша. В named и dig встроена возможность верификации внешних TLS-сертификатов, что можно использовать для организации строгой или совместной аутентификации на базе TLS (RFC⁣ 9103).




Источник: https://www.opennet.ru/opennews/art.shtml?num=57211
(opennet.ru, мини-новости)