Обновление DNS-сервера BIND c устранением уязвимости в реализации DNS-over-HTTPS
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.16.28 и 9.18.3, а также новый выпуск экспериментальной ветки 9.19.1. В версиях 9.18.3 и 9.19.1 устранена уязвимость (CVE-2022-1183) в реализации механизма DNS-over-HTTPS, поддерживаемого начиная с ветки 9.18. Уязвимость приводит к аварийному завершению процесса named в случае, если TLS-соединение к обработчику на базе протокола HTTP будет досрочно оборвано. Проблема затрагивает только серверы, обслуживающие запросы DNS over HTTPS (DoH). Серверы, принимающие запросы по DNS over TLS (DoT) и не использующие DoH, проблеме не подвержены.
В выпуске 9.18.3 также добавлено несколько функциональных улучшений. Добавлена поддержка второй версии каталога зон ("Catalog Zones"), определённой в пятом черновике спецификации IETF. Каталог зон предлагает новый метод поддержания вторичных DNS-серверов, в котором вместо определения на вторичном сервере отдельных записей для каждой вторичной зоны, между первичным и вторичным серверами организуется передача определённого набора вторичных зон. Т.е. настроив трансфер каталога по аналогии с передачей отдельных зон, заводимые на первичном сервере зоны, помеченные как входящие в каталог, будут автоматически создаваться на вторичном сервере без необходимости правки файлов конфигурации.
В новой версии также добавлена поддержка расширенных кодов ошибок "Stale Answer" и "Stale NXDOMAIN Answer", выдаваемых, когда устаревший ответ возвращён из кэша. В named и dig встроена возможность верификации внешних TLS-сертификатов, что можно использовать для организации строгой или совместной аутентификации на базе TLS (RFC 9103).
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.mail-archive.com/b...)
- OpenNews: Обновление DNS-сервера BIND 9.11.37, 9.16.27 и 9.18.1 c устранением 4 уязвимостей
- OpenNews: Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и DNS-over-HTTPS
- OpenNews: Ошибка в BIND 9.16.17, приводящая к неверной обработке символа W в DNS-запросах
- OpenNews: Обновление DNS-сервера BIND c устранением уязвимости, допускающей удалённое выполнение кода
- OpenNews: Уязвимость в DNS-сервере BIND, не исключающая удалённое выполнение кода
Похожие новости:
- Уязвимость в uClibc и uClibc-ng, позволяющая подменить данные в кэше DNS
- Обновление DNS-сервера BIND 9.11.37, 9.16.27 и 9.18.1 c устранением 4 уязвимостей
- Выпуск PowerDNS Authoritative Server 4.6
- Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и DNS-over-HTTPS
- Выпуск кэшируюшего DNS-сервера PowerDNS Recursor 4.6.0
- Quad9 проиграл апелляцию в деле о принуждении DNS-сервисов к блокировке пиратского контента
- Новый вариант атаки SAD DNS для подстановки фиктивных данных в кэш DNS
- Некорректные манипуляции с BGP привели к 6-часовой недоступности Facebook, Instagram и WhatsApp
- Выпуск PowerDNS Authoritative Server 4.5
- DNS-over-HTTPS будет включён по умолчанию в Firefox для пользователей из Канады
Теги для поиска: #_bind, #_dns
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 20:20
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.16.28 и 9.18.3, а также новый выпуск экспериментальной ветки 9.19.1. В версиях 9.18.3 и 9.19.1 устранена уязвимость (CVE-2022-1183) в реализации механизма DNS-over-HTTPS, поддерживаемого начиная с ветки 9.18. Уязвимость приводит к аварийному завершению процесса named в случае, если TLS-соединение к обработчику на базе протокола HTTP будет досрочно оборвано. Проблема затрагивает только серверы, обслуживающие запросы DNS over HTTPS (DoH). Серверы, принимающие запросы по DNS over TLS (DoT) и не использующие DoH, проблеме не подвержены. В выпуске 9.18.3 также добавлено несколько функциональных улучшений. Добавлена поддержка второй версии каталога зон ("Catalog Zones"), определённой в пятом черновике спецификации IETF. Каталог зон предлагает новый метод поддержания вторичных DNS-серверов, в котором вместо определения на вторичном сервере отдельных записей для каждой вторичной зоны, между первичным и вторичным серверами организуется передача определённого набора вторичных зон. Т.е. настроив трансфер каталога по аналогии с передачей отдельных зон, заводимые на первичном сервере зоны, помеченные как входящие в каталог, будут автоматически создаваться на вторичном сервере без необходимости правки файлов конфигурации. В новой версии также добавлена поддержка расширенных кодов ошибок "Stale Answer" и "Stale NXDOMAIN Answer", выдаваемых, когда устаревший ответ возвращён из кэша. В named и dig встроена возможность верификации внешних TLS-сертификатов, что можно использовать для организации строгой или совместной аутентификации на базе TLS (RFC 9103). =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 20:20
Часовой пояс: UTC + 5