(BIN)(伯克利互聯網名稱域)是一種命令行UNIX軟件,它分發域名系統(DNS)協議的開源實現。它由一個解析器庫,一個名為`named'的服務器/守護進程,以及用於測試和驗證DNS服務器正確運行的軟件工具組成。
最初是在加州大學伯克利分校進行的,BIND由太陽微系統,HP,康柏,IBM,Silicon Graphics,Network Associates,美國國防信息系統局,USENIX協會,Process Software Corporation,Nominum,和Stichting NLNet– NLNet Foundation。
包括什麼?
如前所述,BIND包括域名系統服務器,域名系統解析器庫和用於測試服務器的軟件工具。雖然DNS服務器實施負責通過使用官方DNS協議標準中規定的規則來回答所有收到的問題,但DNS解析器庫解決了有關域名的問題。支持的操作系統
BIND是專門為GNU / Linux平台設計的,它可以與Debian,Ubuntu,Arch Linux,Fedora,CentOS,Red Hat Enterprise Linux,Slackware,Gentoo,openSUSE,Mageia,和其他許多人。它支持32位和64位指令集體系結構。
該項目是作為一個單一的通用tarball分發的,包括BIND的源代碼,允許用戶針對他們的硬件平台和操作系統優化軟件(參見上面的支持的操作系統和體系結構)。
如果重定向名稱空間是從本地權威數據源(如本地區域或DLZ)提供的,而不是通過遞歸查找,那麼nxdomain-redirect功能中的編碼錯誤可能會導致斷言失敗。此漏洞披露於CVE-2016-9778。 [RT#43837]
在9.11.2版本中,新功能:
如果重定向名稱空間是從本地權威數據源(如本地區域或DLZ)提供的,而不是通過遞歸查找,那麼nxdomain-redirect功能中的編碼錯誤可能會導致斷言失敗。此漏洞披露於CVE-2016-9778。 [RT#43837]在9.11.1-P3版本中,新功能:
如果重定向名稱空間是從本地權威數據源(如本地區域或DLZ)提供的,而不是通過遞歸查找,那麼nxdomain-redirect功能中的編碼錯誤可能會導致斷言失敗。此漏洞披露於CVE-2016-9778。 [RT#43837]版本9.11.1-P1中新增功能: 如果重定向名稱空間是從本地權威數據源(如本地區域或DLZ)提供的,而不是通過遞歸查找,那麼nxdomain-redirect功能中的編碼錯誤可能會導致斷言失敗。此漏洞披露於CVE-2016-9778。 [RT#43837]
9.11.1版本中的新內容:
如果重定向名稱空間是從本地權威數據源(如本地區域或DLZ)提供的,而不是通過遞歸查找,那麼nxdomain-redirect功能中的編碼錯誤可能會導致斷言失敗。此漏洞披露於CVE-2016-9778。 [RT#43837]在9.11.0-P2版本中,新功能:
- 如果重定向名稱空間是從本地權威數據源(如本地區域或DLZ)提供的,而不是通過遞歸查找,則nxdomain-redirect功能中的編碼錯誤可能導致斷言失敗。此漏洞披露於CVE-2016-9778。 [RT#43837]
- 命名可能會錯誤地處理缺少RRSIG觸發斷言失敗的權威部分。此漏洞披露於CVE-2016-9444。 [RT#43632]
- 錯誤地處理了一些覆蓋RRSIG記錄而沒有請求的數據導致斷言失敗的響應。此漏洞披露於CVE-2016-9147。 [RT#43548]
- 命名錯誤地嘗試緩存TKEY記錄,這可能會導致在類不匹配時觸發斷言失敗。此漏洞披露於CVE-2016-9131。 [RT#43522]
- 處理響應時可能會觸發斷言。此漏洞披露於CVE-2016-8864。 [RT#43465]
在版本9.11.0-P1中
新增功能:
- 安全性修正:
- OPENPGPKEY rdatatype中不正確的邊界檢查可能會觸發斷言失敗。此漏洞披露於CVE-2015-5986。 [RT#40286]
- 解析某些格式錯誤的DNSSEC密鑰時,緩衝區記帳錯誤可能會觸發斷言失敗。此漏洞由Fuzzing Project的Hanno Bock發現,並在CVE-2015-5722中進行了披露。 [RT#40212]
- 特製的查詢可能觸發message.c中的斷言失敗。此漏洞由Jonathan Foote發現,並在CVE-2015-5477中進行了披露。 [RT#40046]
- 在配置為執行DNSSEC驗證的服務器上,可能會從專門配置的服務器的答复上觸發斷言失敗。此漏洞是由Breno Silveira Soares發現的,並在CVE-2015-4620中進行了披露。 [RT#39795]
- 新功能:
- 添加了新的配額,以限制遞歸解析器發送給發生拒絕服務攻擊的授權服務器的查詢。配置時,這些選項既可以減少對權威服務器的危害,也可以避免遞歸時可能經歷的資源耗盡,因為它們被用作這種攻擊的載體。注:這些選項默認情況下不可用;使用configure --enable-fetchlimit將它們包含在構建中。 +每台服務器提取限制可以發送到任何一台授權服務器的同步查詢的數量。配置的值是一個起點;如果服務器部分或完全不響應,它會自動向下調整。用於調整配額的算法可以通過fetch-quota-params選項進行配置。每區域提取限制可以在單個域內為名稱發送的同時查詢的數量。 (注意:與“每個服務器抓取”不同,此值不是自我調整)。統計信息計數器也被添加以跟踪受這些配額影響的查詢數量。
- 現在可以使用dig + ednsflags在DNS請求中設置尚未定義的EDNS標誌。
- 現在可以使用dig + [no] ednsnegotiation啟用/禁用EDNS版本協商。
- --enable-querytrace配置開關現在可以啟用非常詳細的查詢tracelogging。該選項只能在編譯時設置。此選項具有負面的性能影響,應僅用於調試。
- 功能變更:
- 實驗性SIT擴展現在使用EDNS COOKIE選項代碼點(10)並顯示為“COOKIE:”。現有的named.conf指令; “請求坐標”,“坐下密碼”和“nosit-udp-size”在BIND 9.11中仍然有效,將被“send-cookie”,“cookie-secret”和“nocookie-udp-size” 。現有dig指令“+ sit”仍然有效,將在BIND 9.11中用“+ cookie”取代。
- 由於第一個答案被截斷,通過TCP重試查詢時,dig現在會正確發送前一個響應中服務器返回的COOKIE值。 [RT#39047]
- 現在支持在Linux上從net.ipv4.ip_local_port_range檢索本地端口範圍。
- 表單gc._msdcs的Active Directory名稱。現在在使用檢查名稱選項時被接受為有效主機名。仍然限於字母,數字和連字符。
- 如RFC 6763中所述,包含富文本的名稱現在被接受為DNS-SD反向查找區域中PTR記錄中的有效主機名。[RT#37889]
- 錯誤修正:
- 當區域負載已在進行中時,異步區域負載未正確處理;這可能會觸發zt.c中的崩潰。 [RT#37573]
- 關機或重新配置期間的競爭可能導致mem.c中的斷言失敗。 [RT#38979]
- 有些答案格式選項在dig + short時無法正常工作。 [RT#39291]
- 當加載文本區域文件時,某些類型的格式錯誤的記錄(包括NSAP和UNSPEC)可能會觸發斷言失敗。 [RT#40274] [RT#40285]
- 解決了由於NOTIFY消息從錯誤的速率限制器隊列中刪除而導致ratelimiter.c可能發生崩潰的問題。 [RT#40350]
- 隨機的默認rrset順序不一致。 [RT#40456]
- 來自破碎的權威名稱服務器的BADVERS響應沒有正確處理。 [RT#40427] <>在RPZ實施中已經修復了一些錯誤:+不特別要求遞歸的策略區域可以被視為如同它們那樣對待;因此,設置qname-wait-recurse no;有時是無效的。這已被糾正。在大多數配置中,由於此修復而導致的行為更改不會引人注意。 [RT#39229] +如果策略區域已更新(例如,通過rndc重新加載或傳入區域傳輸),則服務器可能會崩潰,而對於活動查詢,RPZ處理仍在進行中。 [RT#39415] +在將一個或多個策略區域配置為從服務器的服務器上,如果在正常操作期間(而不是在啟動時)使用完整區域重新加載(例如通過AXFR)更新了策略區域,則可能允許RPZ摘要數據不同步,當對區域進行更多的增量更新時(例如通過IXFR),可能導致rpz.c中的斷言失敗。 [RT#39567] +服務器可以匹配比CLIENT-IP策略觸發器中可用的更短的前綴,因此可以採取意外的措施。這已被糾正。 [RT#39481] +如果一個RPZ區域的重新加載被啟動,而另一個同一區域的重新加載已經在進行,服務器可能會崩潰。
大的內聯簽名更改應該不那麼具有破壞性。簽名生成現在是逐步完成的;在每個量子中要生成的簽名的數量由“簽名 - 簽名號碼”來控制。 [RT#37927]
[RT#39649] +如果通配符記錄存在,則查詢名稱可能與錯誤的策略域匹配。 [RT#40357]
9.11.0版本中新增功能:
- 安全性修正:
- OPENPGPKEY rdatatype中不正確的邊界檢查可能會觸發斷言失敗。此漏洞披露於CVE-2015-5986。 [RT#40286]
- 解析某些格式錯誤的DNSSEC密鑰時,緩衝區記帳錯誤可能會觸發斷言失敗。此漏洞由Fuzzing Project的Hanno Bock發現,並在CVE-2015-5722中進行了披露。 [RT#40212]
- 特製的查詢可能觸發message.c中的斷言失敗。此漏洞由Jonathan Foote發現,並在CVE-2015-5477中進行了披露。 [RT#40046]
- 在配置為執行DNSSEC驗證的服務器上,可能會從專門配置的服務器的答复上觸發斷言失敗。此漏洞是由Breno Silveira Soares發現的,並在CVE-2015-4620中進行了披露。 [RT#39795]
- 新功能:
- 添加了新的配額,以限制遞歸解析器發送給發生拒絕服務攻擊的授權服務器的查詢。配置時,這些選項既可以減少對權威服務器的危害,也可以避免遞歸時可能經歷的資源耗盡,因為它們被用作這種攻擊的載體。注:這些選項默認情況下不可用;使用configure --enable-fetchlimit將它們包含在構建中。 +每台服務器提取限制可以發送到任何一台授權服務器的同步查詢的數量。配置的值是一個起點;如果服務器部分或完全不響應,它會自動向下調整。用於調整配額的算法可以通過fetch-quota-params選項進行配置。每區域提取限制可以在單個域內為名稱發送的同時查詢的數量。 (注意:與“每個服務器抓取”不同,此值不是自我調整)。統計信息計數器也被添加以跟踪受這些配額影響的查詢數量。
- 現在可以使用dig + ednsflags在DNS請求中設置尚未定義的EDNS標誌。
- 現在可以使用dig + [no] ednsnegotiation啟用/禁用EDNS版本協商。
- --enable-querytrace配置開關現在可以啟用非常詳細的查詢tracelogging。該選項只能在編譯時設置。此選項具有負面的性能影響,應僅用於調試。
- 功能變更:
- 實驗性SIT擴展現在使用EDNS COOKIE選項代碼點(10)並顯示為“COOKIE:”。現有的named.conf指令; “請求坐標”,“坐下密碼”和“nosit-udp-size”在BIND 9.11中仍然有效,將被“send-cookie”,“cookie-secret”和“nocookie-udp-size” 。現有dig指令“+ sit”仍然有效,將在BIND 9.11中用“+ cookie”取代。
- 由於第一個答案被截斷,通過TCP重試查詢時,dig現在會正確發送前一個響應中服務器返回的COOKIE值。 [RT#39047]
- 現在支持在Linux上從net.ipv4.ip_local_port_range檢索本地端口範圍。
- 表單gc._msdcs的Active Directory名稱。現在在使用檢查名稱選項時被接受為有效主機名。仍然限於字母,數字和連字符。
- 如RFC 6763中所述,包含富文本的名稱現在被接受為DNS-SD反向查找區域中PTR記錄中的有效主機名。[RT#37889]
- 錯誤修正:
- 當區域負載已在進行中時,異步區域負載未正確處理;這可能會觸發zt.c中的崩潰。 [RT#37573]
- 關機或重新配置期間的競爭可能導致mem.c中的斷言失敗。 [RT#38979]
- 有些答案格式選項在dig + short時無法正常工作。 [RT#39291]
- 當加載文本區域文件時,某些類型的格式錯誤的記錄(包括NSAP和UNSPEC)可能會觸發斷言失敗。 [RT#40274] [RT#40285]
- 解決了由於NOTIFY消息從錯誤的速率限制器隊列中刪除而導致ratelimiter.c可能發生崩潰的問題。 [RT#40350]
- 隨機的默認rrset順序不一致。 [RT#40456]
- 來自破碎的權威名稱服務器的BADVERS響應沒有正確處理。 [RT#40427] <>在RPZ實施中已經修復了一些錯誤:+不特別要求遞歸的策略區域可以被視為如同它們那樣對待;因此,設置qname-wait-recurse no;有時是無效的。這已被糾正。在大多數配置中,由於此修復而導致的行為更改不會引人注意。 [RT#39229] +如果策略區域已更新(例如,通過rndc重新加載或傳入區域傳輸),則服務器可能會崩潰,而對於活動查詢,RPZ處理仍在進行中。 [RT#39415] +在將一個或多個策略區域配置為從服務器的服務器上,如果在正常操作期間(而不是在啟動時)使用完整區域重新加載(例如通過AXFR)更新了策略區域,則可能允許RPZ摘要數據不同步,當對區域進行更多的增量更新時(例如通過IXFR),可能導致rpz.c中的斷言失敗。 [RT#39567] +服務器可以匹配比CLIENT-IP策略觸發器中可用的更短的前綴,因此可以採取意外的措施。這已被糾正。 [RT#39481] +如果一個RPZ區域的重新加載被啟動,而另一個同一區域的重新加載已經在進行,服務器可能會崩潰。
大的內聯簽名更改應該不那麼具有破壞性。簽名生成現在是逐步完成的;在每個量子中要生成的簽名的數量由“簽名 - 簽名號碼”來控制。 [RT#37927]
[RT#39649] +如果通配符記錄存在,則查詢名稱可能與錯誤的策略域匹配。 [RT#40357]
在9.10.4-P3版本中
新增功能:
- 安全性修正:
- OPENPGPKEY rdatatype中不正確的邊界檢查可能會觸發斷言失敗。此漏洞披露於CVE-2015-5986。 [RT#40286]
- 解析某些格式錯誤的DNSSEC密鑰時,緩衝區記帳錯誤可能會觸發斷言失敗。此漏洞由Fuzzing Project的Hanno Bock發現,並在CVE-2015-5722中進行了披露。 [RT#40212]
- 特製的查詢可能觸發message.c中的斷言失敗。此漏洞由Jonathan Foote發現,並在CVE-2015-5477中進行了披露。 [RT#40046]
- 在配置為執行DNSSEC驗證的服務器上,可能會從專門配置的服務器的答复上觸發斷言失敗。此漏洞是由Breno Silveira Soares發現的,並在CVE-2015-4620中進行了披露。 [RT#39795]
- 新功能:
- 添加了新的配額,以限制遞歸解析器發送給發生拒絕服務攻擊的授權服務器的查詢。配置時,這些選項既可以減少對權威服務器的危害,也可以避免遞歸時可能經歷的資源耗盡,因為它們被用作這種攻擊的載體。注:這些選項默認情況下不可用;使用configure --enable-fetchlimit將它們包含在構建中。 +每台服務器提取限制可以發送到任何一台授權服務器的同步查詢的數量。配置的值是一個起點;如果服務器部分或完全不響應,它會自動向下調整。用於調整配額的算法可以通過fetch-quota-params選項進行配置。每區域提取限制可以在單個域內為名稱發送的同時查詢的數量。 (注意:與“每個服務器抓取”不同,此值不是自我調整)。統計信息計數器也被添加以跟踪受這些配額影響的查詢數量。
- 現在可以使用dig + ednsflags在DNS請求中設置尚未定義的EDNS標誌。
- 現在可以使用dig + [no] ednsnegotiation啟用/禁用EDNS版本協商。
- --enable-querytrace配置開關現在可以啟用非常詳細的查詢tracelogging。該選項只能在編譯時設置。此選項具有負面的性能影響,應僅用於調試。
- 功能變更:
- 實驗性SIT擴展現在使用EDNS COOKIE選項代碼點(10)並顯示為“COOKIE:”。現有的named.conf指令; “請求坐標”,“坐下密碼”和“nosit-udp-size”在BIND 9.11中仍然有效,將被“send-cookie”,“cookie-secret”和“nocookie-udp-size” 。現有dig指令“+ sit”仍然有效,將在BIND 9.11中用“+ cookie”取代。
- 由於第一個答案被截斷,通過TCP重試查詢時,dig現在會正確發送前一個響應中服務器返回的COOKIE值。 [RT#39047]
- 現在支持在Linux上從net.ipv4.ip_local_port_range檢索本地端口範圍。
- 表單gc._msdcs的Active Directory名稱。現在在使用檢查名稱選項時被接受為有效主機名。仍然限於字母,數字和連字符。
- 如RFC 6763中所述,包含富文本的名稱現在被接受為DNS-SD反向查找區域中PTR記錄中的有效主機名。[RT#37889]
- 錯誤修正:
- 當區域負載已在進行中時,異步區域負載未正確處理;這可能會觸發zt.c中的崩潰。 [RT#37573]
- 關機或重新配置期間的競爭可能導致mem.c中的斷言失敗。 [RT#38979]
- 有些答案格式選項在dig + short時無法正常工作。 [RT#39291]
- 當加載文本區域文件時,某些類型的格式錯誤的記錄(包括NSAP和UNSPEC)可能會觸發斷言失敗。 [RT#40274] [RT#40285]
- 解決了由於NOTIFY消息從錯誤的速率限制器隊列中刪除而導致ratelimiter.c可能發生崩潰的問題。 [RT#40350]
- 隨機的默認rrset順序不一致。 [RT#40456]
- 來自破碎的權威名稱服務器的BADVERS響應沒有正確處理。 [RT#40427] <>在RPZ實施中已經修復了一些錯誤:+不特別要求遞歸的策略區域可以被視為如同它們那樣對待;因此,設置qname-wait-recurse no;有時是無效的。這已被糾正。在大多數配置中,由於此修復而導致的行為更改不會引人注意。 [RT#39229] +如果策略區域已更新(例如,通過rndc重新加載或傳入區域傳輸),則服務器可能會崩潰,而對於活動查詢,RPZ處理仍在進行中。 [RT#39415] +在將一個或多個策略區域配置為從服務器的服務器上,如果在正常操作期間(而不是在啟動時)使用完整區域重新加載(例如通過AXFR)更新了策略區域,則可能允許RPZ摘要數據不同步,當對區域進行更多的增量更新時(例如通過IXFR),可能導致rpz.c中的斷言失敗。 [RT#39567] +服務器可以匹配比CLIENT-IP策略觸發器中可用的更短的前綴,因此可以採取意外的措施。這已被糾正。 [RT#39481] +如果一個RPZ區域的重新加載被啟動,而另一個同一區域的重新加載已經在進行,服務器可能會崩潰。[RT#39649]如果通配符記錄存在,則查詢名稱可能與錯誤的策略域匹配。 [RT#40357]
大的內聯簽名更改應該不那麼具有破壞性。簽名生成現在是逐步完成的;在每個量子中要生成的簽名的數量由“簽名 - 簽名號碼”來控制。 [RT#37927]
評論沒有發現