BIND

BIND (Berkeley Internet Name Domain) är en kommandorad UNIX-programvara som distribuerar en öppen källkodsimplementering av DNS-protokollen (Domain Name System). Den består av ett resolverbibliotek, en server / daemon som kallas `namn ', samt programvaruverktyg för att testa och verifiera den korrekta driften av DNS-servrarna.

BIND var ursprungligen skrivet vid University of California i Berkeley, och blev undertecknad av många organisationer, bland annat Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, US Defense Information Systems Agency, USENIX Association, Process Software Corporation, Nominum, och Stichting NLNet & ndash; NLNet Foundation.

Vad ingår?

Som nämnts består BIND av en domännamnssystemserver, ett domännamnssystem resolverbibliotek och mjukvaruverktyg för testning av servrar. Medan DNS-serverns genomförande ansvarar för att svara på alla mottagna frågor genom att använda de regler som anges i de officiella DNS-protokollstandarderna, löser DNS-resolverbiblioteket frågor om domännamn.

Operativsystem som stöds

BIND har utformats specifikt för GNU / Linux-plattformen, och det ska fungera bra med någon distribution av Linux, inklusive Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, openSUSE, Mageia, och många andra. Den stöder både 32-bitars och 64-bitars instruktionsuppsättningar.

Projektet distribueras som en enda universell tarball som innehåller källkoden för BIND, så att användarna kan optimera mjukvaran för deras hårdvaruplattform och operativsystem (se ovan för stödda operativsystem och arkitekturer).

Vad är nytt i den här utgåvan:

• Ett kodningsfel i nxdomain-redirect-funktionen kan leda till ett påstående om omriktningsnamnutrymmet var betjänat från en lokal auktoritativ datakälla, t.ex. en lokal zon eller en DLZ istället för genom rekursiv sökning. Denna fel beskrivs i CVE-2016-9778. [RT # 43837]
• Namngivna kan misshandla myndighetsavsnitt som saknade RRSIGs som utlöser ett påstående om misslyckande. Denna fel beskrivs i CVE-2016-9444. [RT # 43632]
• Namngivna misslyckade några svar där täckning av RRSIG-poster returneras utan att de begärda uppgifterna resulterade i ett påstående om misslyckande. Denna fel beskrivs i CVE-2016-9147. [RT # 43548]
• Namngivna felaktigt försökte cache TKEY-poster som kan utlösa ett påstående om det inte fanns en klassmatchning. Denna fel beskrivs i CVE-2016-9131. [RT # 43522]
• Det var möjligt att utlösa påståenden vid behandling av ett svar. Denna fel beskrivs i CVE-2016-8864. [RT # 43465]

Vad är nytt i version 9.11.2:

• Ett kodningsfel i nxdomain-redirect-funktionen kan leda till ett påstående om omriktningsnamnutrymmet var betjänat från en lokal auktoritativ datakälla, t.ex. en lokal zon eller en DLZ istället för genom rekursiv sökning. Denna fel beskrivs i CVE-2016-9778. [RT # 43837]
• Namngivna kan misshandla myndighetsavsnitt som saknade RRSIGs som utlöser ett påstående om misslyckande. Denna fel beskrivs i CVE-2016-9444. [RT # 43632]
• Namngivna misslyckade några svar där täckning av RRSIG-poster returneras utan att de begärda uppgifterna resulterade i ett påstående om misslyckande. Denna fel beskrivs i CVE-2016-9147. [RT # 43548]
• Namngivna felaktigt försökte cache TKEY-poster som kan utlösa ett påstående om det inte fanns en klassmatchning. Denna fel beskrivs i CVE-2016-9131. [RT # 43522]
• Det var möjligt att utlösa påståenden vid behandling av ett svar. Denna fel beskrivs i CVE-2016-8864. [RT # 43465]

Vad är nytt i version 9.11.1-P3:

• Ett kodningsfel i nxdomain-redirect-funktionen kan leda till ett påstående om omriktningsnamnutrymmet var betjänat från en lokal auktoritativ datakälla, t.ex. en lokal zon eller en DLZ istället för genom rekursiv sökning. Denna fel beskrivs i CVE-2016-9778. [RT # 43837]
• Namngivna kan misshandla myndighetsavsnitt som saknade RRSIGs som utlöser ett påstående om misslyckande. Denna fel beskrivs i CVE-2016-9444. [RT # 43632]
• Namngivna misslyckade några svar där täckning av RRSIG-poster returneras utan att de begärda uppgifterna resulterade i ett påstående om misslyckande. Denna fel beskrivs i CVE-2016-9147. [RT # 43548]
• Namngivna felaktigt försökte cache TKEY-poster som kan utlösa ett påstående om det inte fanns en klassmatchning. Denna fel beskrivs i CVE-2016-9131. [RT # 43522]
• Det var möjligt att utlösa påståenden vid behandling av ett svar. Denna fel beskrivs i CVE-2016-8864. [RT # 43465]

Vad är nytt i version 9.11.1-P1:

• Ett kodningsfel i nxdomain-redirect-funktionen kan leda till ett påstående om omriktningsnamnutrymmet var betjänat från en lokal auktoritativ datakälla, t.ex. en lokal zon eller en DLZ istället för genom rekursiv sökning. Denna fel beskrivs i CVE-2016-9778. [RT # 43837]
• Namngivna kan misshandla myndighetsavsnitt som saknade RRSIGs som utlöser ett påstående om misslyckande. Denna fel beskrivs i CVE-2016-9444. [RT # 43632]
• Namngivna misslyckade några svar där täckning av RRSIG-poster returneras utan att de begärda uppgifterna resulterade i ett påstående om misslyckande. Denna fel beskrivs i CVE-2016-9147. [RT # 43548]
• Namngivna felaktigt försökte cache TKEY-poster som kan utlösa ett påstående om det inte fanns en klassmatchning. Denna fel beskrivs i CVE-2016-9131. [RT # 43522]
• Det var möjligt att utlösa påståenden vid behandling av ett svar. Denna fel beskrivs i CVE-2016-8864. [RT # 43465]

Vad är nytt i version 9.11.1:

• Ett kodningsfel i nxdomain-redirect-funktionen kan leda till ett påstående om omriktningsnamnutrymmet var betjänat från en lokal auktoritativ datakälla, t.ex. en lokal zon eller en DLZ istället för genom rekursiv sökning. Denna fel beskrivs i CVE-2016-9778. [RT # 43837]
• Namngivna kan misshandla myndighetsavsnitt som saknade RRSIGs som utlöser ett påstående om misslyckande. Denna fel beskrivs i CVE-2016-9444. [RT # 43632]
• Namngivna misslyckade några svar där täckning av RRSIG-poster returneras utan att de begärda uppgifterna resulterade i ett påstående om misslyckande. Denna fel beskrivs i CVE-2016-9147. [RT # 43548]
• Namngivna felaktigt försökte cache TKEY-poster som kan utlösa ett påstående om det inte fanns en klassmatchning. Denna fel beskrivs i CVE-2016-9131. [RT # 43522]
• Det var möjligt att utlösa påståenden vid behandling av ett svar. Denna fel beskrivs i CVE-2016-8864. [RT # 43465]

Vad är nytt i version 9.11.0-P2:

• Ett kodningsfel i nxdomain-redirect-funktionen kan leda till ett påstående om felet omdirigerades i en lokal auktoritativ datakälla som en lokal zon eller en DLZ istället för genom rekursiv sökning. Denna fel beskrivs i CVE-2016-9778. [RT # 43837]
• Namngivna kan misshandla myndighetsavsnitt som saknade RRSIGs som utlöser ett påstående om misslyckande. Denna fel beskrivs i CVE-2016-9444. [RT # 43632]
• Namngivna misslyckade några svar där täckning av RRSIG-poster returneras utan att de begärda uppgifterna resulterade i ett påstående om misslyckande. Denna fel beskrivs i CVE-2016-9147. [RT # 43548]
• Namngivna felaktigt försökte cache TKEY-poster som kan utlösa ett påstående om det inte fanns en klassmatchning. Denna fel beskrivs i CVE-2016-9131. [RT # 43522]
• Det var möjligt att utlösa påståenden vid behandling av ett svar. Denna fel beskrivs i CVE-2016-8864. [RT # 43465]

Vad är nytt i version 9.11.0-P1:

• Säkerhetsfix:
• En felaktig gränskontroll i OPENPGPKEY-rdatatypen kan utlösa ett påstående om misslyckande. Denna fel beskrivs i CVE-2015-5986. [RT # 40286]
• Ett fel på bufferträkningen kan utlösa ett påstående vid feluppspelning av vissa felaktiga DNSSEC-nycklar. Denna fel upptäcktes av Hanno Bock från Fuzzing Project, och beskrivs i CVE-2015-5722. [RT # 40212]
• En speciellt utformad fråga kan utlösa ett påstående i message.c. Denna fel upptäcktes av Jonathan Foote och beskrivs i CVE-2015-5477. [RT # 40046]
• På servrar som är konfigurerade för att utföra DNSSEC-validering kan ett påståendet misslyckas på svar från en speciellt konfigurerad server. Denna fel upptäcktes av Breno Silveira Soares och beskrivs i CVE-2015-4620. [RT # 39795]
• Nya funktioner:
• Nya kvoter har lagts till för att begränsa frågorna som skickas av rekursiva resolver till auktoritativa servrar som upplever angrepp mot beteende. När de konfigureras kan dessa alternativ både minska skadan till auktoritativa servrar och också undvika resursutmattning som kan upplevas av rekursiva när de används som ett fordon för en sådan attack. OBS! Dessa alternativ är inte tillgängliga som standard; använd configure -enable-fetchlimit för att inkludera dem i byggnaden. + hämtningar per server begränsar antalet samtidiga frågor som kan skickas till en enda auktoritativ server. Det konfigurerade värdet är en utgångspunkt. Den justeras automatiskt nedåt om servern är delvis eller helt icke-mottaglig. Den algoritm som används för att justera kvoten kan konfigureras via alternativet hämta kvot-parametrar. + hämtningar per zon begränsar antalet samtidiga frågor som kan skickas för namn inom en enda domän. (Obs! I motsats till "hämtningar per server" är det här värdet inte självinställt.) Statistikräknare har också lagts till för att spåra antalet frågor som påverkas av dessa kvoter.
• dig + ednsflags kan nu användas för att ställa in ännu definierade EDNS-flaggor i DNS-förfrågningar.
• gräva + [nej] ednsnegotiation kan nu användas aktivera / inaktivera EDNS version förhandling.
• En config-switch för en-en-querytrace-konfiguration är nu tillgänglig för att aktivera mycket ordentligt frågespårloggning. Det här alternativet kan bara ställas in på kompileringstid. Det här alternativet har en negativ prestationspåverkan och bör endast användas för debugging.
• Funktionsändringar:
• Stora inline-signeringsändringar borde vara mindre störande. Signaturgenerering görs nu stegvis; antalet signaturer som ska genereras i varje kvantum styrs av "sig-signatur-signaturnummer;". [RT # 37927]
• Den experimentella SIT-förlängningen använder nu alternativkodpunkten EDNS COOKIE (10) och visas som "COOKIE:". De befintliga named.conf-direktiven; "request-sit", "sit-secret" och "nosit-udp-size" är fortfarande giltiga och kommer att ersättas med "send-cookie", "cookie-secret" och "nocookie-udp-size" i BIND 9.11 . Det befintliga grävsdirektivet "+ sit" är fortfarande giltigt och kommer att ersättas med "+ cookie" i BIND 9.11.
• När du försöker pröva en fråga via TCP på grund av att det första svaret är avkortat, skickar gräva nu korrekt COOKIE-värdet returnerat av servern i det tidigare svaret. [RT # 39047]
• Hämtning av det lokala portintervallet från net.ipv4.ip_local_port_range på Linux stöds nu.
• Aktiva katalognamn på formuläret gc._msdcs. Accepteras nu som giltiga värdnamn när du använder alternativet för checknamn. är fortfarande begränsat till bokstäver, siffror och bindestreck.
• Namn som innehåller rik text accepteras nu som giltiga värdnamn i PTR-poster i DNS-SD-omvandlingszonerna, enligt RFC 6763. [RT # 37889]
• Felkorrigeringar:
• Asynkrona zonbelastningar hanterades inte korrekt när zonbelastningen redan pågick. Detta kan utlösa en krasch i zt.c. [RT # 37573]
• En tävling under avstängning eller omkonfiguration kan orsaka ett misslyckande i mem.c. [RT # 38979]
• Vissa svarformateringsalternativ fungerade inte korrekt med gräva + kort. [RT # 39291]
• Felaktiga poster av vissa typer, inklusive NSAP och UNSPEC, kan utlösa påståenden om fel vid lastning av textzonfiler. [RT # 40274] [RT # 40285]
• Lös en eventuell krasch i ratelimiter.c orsakad av att NOTIFY-meddelanden tas bort från felkodskretsen. [RT # 40350]
• Den vanliga rrset-ordningen av slumpmässigt användes inkonsekvent. [RT # 40456]
• BADVERS svar från brutna auktoritativa namnservrar hanterades inte korrekt. [RT # 40427]
<>Flera buggar har fastställts i RPZ-genomförandet: + Policyzoner som inte specifikt krävde rekursion kunde behandlas som om de gjorde det; Följaktligen ställer du in qname-wait-recurse nr; var ibland ineffektiv. Detta har rättats. I de flesta konfigurationer kan beteendeförändringar på grund av denna åtgärd inte märkas. [RT # 39229] + Servern kan krascha om policyzoner uppdaterades (t ex via rndc reload eller en inkommande zonöverföring) medan RPZ-bearbetning fortfarande pågick för en aktiv fråga. [RT # 39415] + På servrar med en eller flera policyzoner som konfigureras som slavar, om en policyzon uppdateras under regelbunden operation (i stället för vid start) genom att använda en fullständig zonåterladdning, t.ex. via AXFR, kan en bugg tillåta RPZ-sammanfattningen data som faller ur synkronisering, vilket potentiellt leder till ett påstående om fel i rpz.c när ytterligare inkrementella uppdateringar gjordes till zonen, såsom via IXFR. [RT # 39567] + Servern kan matcha ett kortare prefix än vad som var tillgängligt i klientens IP-policy-utlösare, och så kan en oväntad åtgärd vidtas. Detta har rättats. [RT # 39481] + Servern kan krascha om en omladdning av en RPZ-zon initierades medan en annan omlastning av samma zon redan pågick.

[RT # 39649] + Fråga namn kunde matcha mot fel policy zon om jokertecken poster var närvarande. [RT # 40357]

Vad är nytt i version 9.11.0:

• Säkerhetsfix:
• En felaktig gränskontroll i OPENPGPKEY-rdatatypen kan utlösa ett påstående om misslyckande. Denna fel beskrivs i CVE-2015-5986. [RT # 40286]
• Ett fel på bufferträkningen kan utlösa ett påstående vid feluppspelning av vissa felaktiga DNSSEC-nycklar. Denna fel upptäcktes av Hanno Bock från Fuzzing Project, och beskrivs i CVE-2015-5722. [RT # 40212]
• En speciellt utformad fråga kan utlösa ett påstående i message.c. Denna fel upptäcktes av Jonathan Foote och beskrivs i CVE-2015-5477. [RT # 40046]
• På servrar som är konfigurerade för att utföra DNSSEC-validering kan ett påståendet misslyckas på svar från en speciellt konfigurerad server. Denna fel upptäcktes av Breno Silveira Soares och beskrivs i CVE-2015-4620. [RT # 39795]
• Nya funktioner:
• Nya kvoter har lagts till för att begränsa frågorna som skickas av rekursiva resolver till auktoritativa servrar som upplever angrepp mot beteende. När de konfigureras kan dessa alternativ både minska skadan till auktoritativa servrar och också undvika resursutmattning som kan upplevas av rekursiva när de används som ett fordon för en sådan attack. OBS! Dessa alternativ är inte tillgängliga som standard; använd configure -enable-fetchlimit för att inkludera dem i byggnaden. + hämtningar per server begränsar antalet samtidiga frågor som kan skickas till en enda auktoritativ server. Det konfigurerade värdet är en utgångspunkt. Den justeras automatiskt nedåt om servern är delvis eller helt icke-mottaglig. Den algoritm som används för att justera kvoten kan konfigureras via alternativet hämta kvot-parametrar. + hämtningar per zon begränsar antalet samtidiga frågor som kan skickas för namn inom en enda domän. (Obs! I motsats till "hämtningar per server" är det här värdet inte självinställt.) Statistikräknare har också lagts till för att spåra antalet frågor som påverkas av dessa kvoter.
• dig + ednsflags kan nu användas för att ställa in ännu definierade EDNS-flaggor i DNS-förfrågningar.
• gräva + [nej] ednsnegotiation kan nu användas aktivera / inaktivera EDNS version förhandling.
• En config-switch för en-en-querytrace-konfiguration är nu tillgänglig för att aktivera mycket ordentligt frågespårloggning. Det här alternativet kan bara ställas in på kompileringstid. Det här alternativet har en negativ prestationspåverkan och bör endast användas för debugging.
• Funktionsändringar:
• Stora inline-signeringsändringar borde vara mindre störande. Signaturgenerering görs nu stegvis; antalet signaturer som ska genereras i varje kvantum styrs av "sig-signatur-signaturnummer;". [RT # 37927]
• Den experimentella SIT-förlängningen använder nu alternativkodpunkten EDNS COOKIE (10) och visas som "COOKIE:". De befintliga named.conf-direktiven; "request-sit", "sit-secret" och "nosit-udp-size" är fortfarande giltiga och kommer att ersättas med "send-cookie", "cookie-secret" och "nocookie-udp-size" i BIND 9.11 . Det befintliga grävsdirektivet "+ sit" är fortfarande giltigt och kommer att ersättas med "+ cookie" i BIND 9.11.
• När du försöker pröva en fråga via TCP på grund av att det första svaret är avkortat, skickar gräva nu korrekt COOKIE-värdet returnerat av servern i det tidigare svaret. [RT # 39047]
• Hämtning av det lokala portintervallet från net.ipv4.ip_local_port_range på Linux stöds nu.
• Aktiva katalognamn på formuläret gc._msdcs. Accepteras nu som giltiga värdnamn när du använder alternativet för checknamn. är fortfarande begränsat till bokstäver, siffror och bindestreck.
• Namn som innehåller rik text accepteras nu som giltiga värdnamn i PTR-poster i DNS-SD-omvandlingszonerna, enligt RFC 6763. [RT # 37889]
• Felkorrigeringar:
• Asynkrona zonbelastningar hanterades inte korrekt när zonbelastningen redan pågick. Detta kan utlösa en krasch i zt.c. [RT # 37573]
• En tävling under avstängning eller omkonfiguration kan orsaka ett misslyckande i mem.c. [RT # 38979]
• Vissa svarformateringsalternativ fungerade inte korrekt med gräva + kort. [RT # 39291]
• Felaktiga poster av vissa typer, inklusive NSAP och UNSPEC, kan utlösa påståenden om fel vid lastning av textzonfiler. [RT # 40274] [RT # 40285]
• Lös en eventuell krasch i ratelimiter.c orsakad av att NOTIFY-meddelanden tas bort från felkodskretsen. [RT # 40350]
• Den vanliga rrset-ordningen av slumpmässigt användes inkonsekvent. [RT # 40456]
• BADVERS svar från brutna auktoritativa namnservrar hanterades inte korrekt. [RT # 40427]
<>Flera buggar har fastställts i RPZ-genomförandet: + Policyzoner som inte specifikt krävde rekursion kunde behandlas som om de gjorde det; Följaktligen ställer du in qname-wait-recurse nr; var ibland ineffektiv. Detta har rättats. I de flesta konfigurationer kan beteendeförändringar på grund av denna åtgärd inte märkas. [RT # 39229] + Servern kan krascha om policyzoner uppdaterades (t ex via rndc reload eller en inkommande zonöverföring) medan RPZ-bearbetning fortfarande pågick för en aktiv fråga. [RT # 39415] + På servrar med en eller flera policyzoner som konfigureras som slavar, om en policyzon uppdateras under regelbunden operation (i stället för vid start) genom att använda en fullständig zonåterladdning, t.ex. via AXFR, kan en bugg tillåta RPZ-sammanfattningen data som faller ur synkronisering, vilket potentiellt leder till ett påstående om fel i rpz.c när ytterligare inkrementella uppdateringar gjordes till zonen, såsom via IXFR. [RT # 39567] + Servern kan matcha ett kortare prefix än vad som var tillgängligt i klientens IP-policy-utlösare, och så kan en oväntad åtgärd vidtas. Detta har rättats. [RT # 39481] + Servern kan krascha om en omladdning av en RPZ-zon initierades medan en annan omlastning av samma zon redan pågick.

[RT # 39649] + Fråga namn kunde matcha mot fel policy zon om jokertecken poster var närvarande. [RT # 40357]

Vad är nytt i version 9.10.4-P3:

• Säkerhetsfixar:
• En felaktig gränskontroll i OPENPGPKEY-rdatatypen kan utlösa ett påstående om misslyckande. Denna fel beskrivs i CVE-2015-5986. [RT # 40286]
• Ett fel på bufferträkningen kan utlösa ett påstående vid feluppspelning av vissa felaktiga DNSSEC-nycklar. Denna fel upptäcktes av Hanno Bock från Fuzzing Project, och beskrivs i CVE-2015-5722. [RT # 40212]
• En speciellt utformad fråga kan utlösa ett påstående i message.c. Denna fel upptäcktes av Jonathan Foote och beskrivs i CVE-2015-5477. [RT # 40046]
• På servrar som är konfigurerade för att utföra DNSSEC-validering kan ett påståendet misslyckas på svar från en speciellt konfigurerad server. Denna fel upptäcktes av Breno Silveira Soares och beskrivs i CVE-2015-4620. [RT # 39795]
• Nya funktioner:
• Nya kvoter har lagts till för att begränsa frågorna som skickas av rekursiva resolver till auktoritativa servrar som upplever angrepp mot beteende. När de konfigureras kan dessa alternativ både minska skadan till auktoritativa servrar och också undvika resursutmattning som kan upplevas av rekursiva när de används som ett fordon för en sådan attack. OBS! Dessa alternativ är inte tillgängliga som standard; använd configure -enable-fetchlimit för att inkludera dem i byggnaden. + hämtningar per server begränsar antalet samtidiga frågor som kan skickas till en enda auktoritativ server. Det konfigurerade värdet är en utgångspunkt. Den justeras automatiskt nedåt om servern är delvis eller helt icke-mottaglig. Den algoritm som används för att justera kvoten kan konfigureras via alternativet hämta kvot-parametrar. + hämtningar per zon begränsar antalet samtidiga frågor som kan skickas för namn inom en enda domän. (Obs! I motsats till "hämtningar per server" är det här värdet inte självinställt.) Statistikräknare har också lagts till för att spåra antalet frågor som påverkas av dessa kvoter.
• dig + ednsflags kan nu användas för att ställa in ännu definierade EDNS-flaggor i DNS-förfrågningar.
• gräva + [nej] ednsnegotiation kan nu användas aktivera / inaktivera EDNS version förhandling.
• En config-switch för en-en-querytrace-konfiguration är nu tillgänglig för att aktivera mycket ordentligt frågespårloggning. Det här alternativet kan bara ställas in på kompileringstid. Det här alternativet har en negativ prestationspåverkan och bör endast användas för debugging.
• Funktionsändringar:
• Stora inline-signeringsändringar borde vara mindre störande. Signaturgenerering görs nu stegvis; antalet signaturer som ska genereras i varje kvantum styrs av "sig-signatur-signaturnummer;". [RT # 37927]
• Den experimentella SIT-förlängningen använder nu alternativkodpunkten EDNS COOKIE (10) och visas som "COOKIE:". De befintliga named.conf-direktiven; "request-sit", "sit-secret" och "nosit-udp-size" är fortfarande giltiga och kommer att ersättas med "send-cookie", "cookie-secret" och "nocookie-udp-size" i BIND 9.11 . Det befintliga grävsdirektivet "+ sit" är fortfarande giltigt och kommer att ersättas med "+ cookie" i BIND 9.11.
• När du försöker pröva en fråga via TCP på grund av att det första svaret är avkortat, skickar gräva nu korrekt COOKIE-värdet returnerat av servern i det tidigare svaret. [RT # 39047]
• Hämtning av det lokala portintervallet från net.ipv4.ip_local_port_range på Linux stöds nu.
• Aktiva katalognamn på formuläret gc._msdcs. Accepteras nu som giltiga värdnamn när du använder alternativet för checknamn. är fortfarande begränsat till bokstäver, siffror och bindestreck.
• Namn som innehåller rik text accepteras nu som giltiga värdnamn i PTR-poster i DNS-SD-omvandlingszonerna, enligt RFC 6763. [RT # 37889]
• Felkorrigeringar:
• Asynkrona zonbelastningar hanterades inte korrekt när zonbelastningen redan pågick. Detta kan utlösa en krasch i zt.c. [RT # 37573]
• En tävling under avstängning eller omkonfiguration kan orsaka ett misslyckande i mem.c. [RT # 38979]
• Vissa svarformateringsalternativ fungerade inte korrekt med gräva + kort. [RT # 39291]
• Felaktiga poster av vissa typer, inklusive NSAP och UNSPEC, kan utlösa påståenden om fel vid lastning av textzonfiler. [RT # 40274] [RT # 40285]
• Lös en eventuell krasch i ratelimiter.c orsakad av att NOTIFY-meddelanden tas bort från felkodskretsen. [RT # 40350]
• Den vanliga rrset-ordningen av slumpmässigt användes inkonsekvent. [RT # 40456]
• BADVERS svar från brutna auktoritativa namnservrar hanterades inte korrekt. [RT # 40427]
<>Flera buggar har fastställts i RPZ-genomförandet: + Policyzoner som inte specifikt krävde rekursion kunde behandlas som om de gjorde det; Följaktligen ställer du in qname-wait-recurse nr; var ibland ineffektiv. Detta har rättats. I de flesta konfigurationer kan beteendeförändringar på grund av denna åtgärd inte märkas. [RT # 39229] + Servern kan krascha om policyzoner uppdaterades (t ex via rndc reload eller en inkommande zonöverföring) medan RPZ-bearbetning fortfarande pågick för en aktiv fråga. [RT # 39415] + På servrar med en eller flera policyzoner som konfigureras som slavar, om en policyzon uppdateras under regelbunden operation (i stället för vid start) genom att använda en fullständig zonåterladdning, t.ex. via AXFR, kan en bugg tillåta RPZ-sammanfattningen data som faller ur synkronisering, vilket potentiellt leder till ett påstående om fel i rpz.c när ytterligare inkrementella uppdateringar gjordes till zonen, såsom via IXFR. [RT # 39567] + Servern kan matcha ett kortare prefix än vad som var tillgängligt i klientens IP-policy-utlösare, och så kan en oväntad åtgärd vidtas. Detta har rättats. [RT # 39481] + Servern kan krascha om en omladdning av en RPZ-zon initierades medan en annan omlastning av samma zon redan pågick.[RT # 39649] + Fråga namn kunde matcha mot fel policy zon om jokertecken poster var närvarande. [RT # 40357]