BIND

BIND (име на домейн в Berkeley Internet) е UNIX софтуер за команден ред, който разпространява приложение с отворен код на протоколите DNS (Domain Name System). Той се състои от библиотека за резолвери, сървър / демон, наречен "име", както и софтуерни инструменти за тестване и проверка на правилната работа на DNS сървърите.

Първоначално писано в Калифорнийския университет в Бъркли, BIND бе подписано от множество организации, включително Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, US Defence Information Systems Agency, USENIX Association, Process Software Corporation, и Stichting NLNet & ndash; Фондация NLNet.

Както бе споменато, BIND се състои от системен сървър за имена на домейни, библиотека за резолтор на имена на домейни и софтуерни инструменти за тестване на сървъри. Докато внедряването на DNS сървъра отговаря за отговарянето на всички получени въпроси, използвайки правилата, посочени в официалните стандарти за DNS протоколи, библиотеката за резолтор на DNS решава въпросите за имената на домейни.

Поддържани операционни системи

BIND е създаден специално за платформата GNU / Linux и трябва да работи добре с всяко разпространение на Linux, включително Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, и много други. Той поддържа както 32-битови, така и 64-битови комплекти инструкции.

Проектът се разпространява като универсален тарбал, който включва изходния код на BIND, позволяващ на потребителите да оптимизират софтуера за своята хардуерна платформа и операционна система (вижте по-горе за поддържани OSes и архитектури).

Какво е новото в това издание:

• Грешка при кодиране на функцията nxdomain-redirect би могла да доведе до неуспех на апелацията, ако пространството за имена на пренасочване е било изпълнено от локален източник на данни като локална зона или DLZ, вместо чрез рекурсивно търсене. Този недостатък е описан в CVE-2016-9778. [RT # 43837]
• Името би могло да доведе до злоупотреби със секциите на органите, в които липсват RRSIGs, които задействат неуспех на твърдението. Този недостатък е описан в CVE-2016-9444. [RT # 43632]
• Named не е успял да отговори на някои отговорите, при които се записват записи на RRSIG записи без исканите данни, което води до неуспех на твърдението. Този недостатък е описан в CVE-2016-9147. [RT # 43548]
• Назованите неправилно се опитват да кешират TKEY записи, които биха могли да предизвикат отказ на твърдение, когато има несъответствие в класа. Този недостатък е описан в CVE-2016-9131. [RT # 43522]
• Възможно е да се задействат твърдения, когато се обработва отговор. Този недостатък е описан в CVE-2016-8864. [RT # 43465]

Какво е новото във версия 9.11.2:

• Грешка при кодиране на функцията nxdomain-redirect би могла да доведе до неуспех на апелацията, ако пространството за имена на пренасочване е било изпълнено от локален източник на данни като локална зона или DLZ, вместо чрез рекурсивно търсене. Този недостатък е описан в CVE-2016-9778. [RT # 43837]
• Името би могло да доведе до злоупотреби със секциите на органите, в които липсват RRSIGs, които задействат неуспех на твърдението. Този недостатък е описан в CVE-2016-9444. [RT # 43632]
• Named не е успял да отговори на някои отговорите, при които се записват записи на RRSIG записи без исканите данни, което води до неуспех на твърдението. Този недостатък е описан в CVE-2016-9147. [RT # 43548]
• Назованите неправилно се опитват да кешират TKEY записи, които биха могли да предизвикат отказ на твърдение, когато има несъответствие в класа. Този недостатък е описан в CVE-2016-9131. [RT # 43522]
• Възможно е да се задействат твърдения, когато се обработва отговор. Този недостатък е описан в CVE-2016-8864. [RT # 43465]

Какво е новото във версия 9.11.1-P3:

• Грешка при кодиране на функцията nxdomain-redirect би могла да доведе до неуспех на апелацията, ако пространството за имена на пренасочване е било изпълнено от локален източник на данни като локална зона или DLZ, вместо чрез рекурсивно търсене. Този недостатък е описан в CVE-2016-9778. [RT # 43837]
• Името би могло да доведе до злоупотреби със секциите на органите, в които липсват RRSIGs, които задействат неуспех на твърдението. Този недостатък е описан в CVE-2016-9444. [RT # 43632]
• Named не е успял да отговори на някои отговорите, при които се записват записи на RRSIG записи без исканите данни, което води до неуспех на твърдението. Този недостатък е описан в CVE-2016-9147. [RT # 43548]
• Назованите неправилно се опитват да кешират TKEY записи, които биха могли да предизвикат отказ на твърдение, когато има несъответствие в класа. Този недостатък е описан в CVE-2016-9131. [RT # 43522]
• Възможно е да се задействат твърдения, когато се обработва отговор. Този недостатък е описан в CVE-2016-8864. [RT # 43465]

Какво е новото във версия 9.11.1-P1:

• Грешка при кодиране на функцията nxdomain-redirect би могла да доведе до неуспех на апелацията, ако пространството за имена на пренасочване е било изпълнено от локален източник на данни като локална зона или DLZ, вместо чрез рекурсивно търсене. Този недостатък е описан в CVE-2016-9778. [RT # 43837]
• Името би могло да доведе до злоупотреби със секциите на органите, в които липсват RRSIGs, които задействат неуспех на твърдението. Този недостатък е описан в CVE-2016-9444. [RT # 43632]
• Named не е успял да отговори на някои отговорите, при които се записват записи на RRSIG записи без исканите данни, което води до неуспех на твърдението. Този недостатък е описан в CVE-2016-9147. [RT # 43548]
• Назованите неправилно се опитват да кешират TKEY записи, които биха могли да предизвикат отказ на твърдение, когато има несъответствие в класа. Този недостатък е описан в CVE-2016-9131. [RT # 43522]
• Възможно е да се задействат твърдения, когато се обработва отговор. Този недостатък е описан в CVE-2016-8864. [RT # 43465]

Какво е новото във версия 9.11.1:

• Грешка при кодиране на функцията nxdomain-redirect би могла да доведе до неуспех на апелацията, ако пространството за имена на пренасочване е било изпълнено от локален източник на данни като локална зона или DLZ, вместо чрез рекурсивно търсене. Този недостатък е описан в CVE-2016-9778. [RT # 43837]
• Името би могло да доведе до злоупотреби със секциите на органите, в които липсват RRSIGs, които задействат неуспех на твърдението. Този недостатък е описан в CVE-2016-9444. [RT # 43632]
• Named не е успял да отговори на някои отговорите, при които се записват записи на RRSIG записи без исканите данни, което води до неуспех на твърдението. Този недостатък е описан в CVE-2016-9147. [RT # 43548]
• Назованите неправилно се опитват да кешират TKEY записи, които биха могли да предизвикат отказ на твърдение, когато има несъответствие в класа. Този недостатък е описан в CVE-2016-9131. [RT # 43522]
• Възможно е да се задействат твърдения, когато се обработва отговор. Този недостатък е описан в CVE-2016-8864. [RT # 43465]

Какво е новото във версия 9.11.0-P2:

• Грешка при кодиране в функцията за пренасочване nxdomain може да доведе до неуспех на твърдение, ако пространството за имена на пренасочване е било изпълнено от локален източник на данни като местна зона или DLZ вместо чрез рекурсивно търсене. Този недостатък е описан в CVE-2016-9778. [RT # 43837]
• Името би могло да доведе до злоупотреби със секциите на органите, в които липсват RRSIGs, които задействат неуспех на твърдението. Този недостатък е описан в CVE-2016-9444. [RT # 43632]
• Named не е успял да отговори на някои отговорите, при които се записват записи на RRSIG записи без исканите данни, което води до неуспех на твърдението. Този недостатък е описан в CVE-2016-9147. [RT # 43548]
• Назованите неправилно се опитват да кешират TKEY записи, които биха могли да предизвикат отказ на твърдение, когато има несъответствие в класа. Този недостатък е описан в CVE-2016-9131. [RT # 43522]
• Възможно е да се задействат твърдения, когато се обработва отговор. Този недостатък е описан в CVE-2016-8864. [RT # 43465]

Какво е новото във версия 9.11.0-P1:

• Коригирания на сигурността:
• Неправилната проверка на границата в OPATPGPKEY rdatatype може да предизвика отказ на твърдение. Този недостатък е описан в CVE-2015-5986. [RT # 40286]
• Една буферна счетоводна грешка може да задейства неуспешно твърдение, когато се анализират някои неправилни ключове DNSSEC. Този недостатък е открит от Хано Бок от проекта Fuzzing и е разкрит в CVE-2015-5722. [RT # 40212]
• Специално изработената заявка може да предизвика отказ на твърдение в message.c. Този недостатък е открит от Джонатан Фуут и е разкрит в CVE-2015-5477. [RT # 40046]
• На сървърите, конфигурирани да извършват валидиране на DNSSEC, може да се задейства отказ на твърдение за отговорите от специално конфигуриран сървър. Този недостатък е открит от Breno Silveira Soares и е разкрит в CVE-2015-4620. [RT # 39795]
• Нови функции:
• Бяха добавени нови квоти, за да се ограничат заявките, изпратени от рекурсивните резолвери, до сървърите с авторитет, претърпели атаки срещу отказ от обслужване. Когато бъдат конфигурирани, тези опции могат едновременно да намалят вредата, причинена на авторитетни сървъри, и също така да избегнат изтощението на ресурсите, което може да бъде потърсено от рекурсивните, когато те се използват като средство за подобна атака. ЗАБЕЛЕЖКА: Тези опции не са достъпни по подразбиране; използвайте configure --enable-fetchlimit, за да ги включите в build. + извличания на сървър ограничава броя на едновременните заявки, които могат да бъдат изпратени до всеки един авторитетен сървър. Конфигурираната стойност е начална точка; тя автоматично се коригира надолу, ако сървърът е частично или напълно неотзивчив. Алгоритъмът, използван за коригиране на квотата, може да бъде конфигуриран чрез опцията fetch-quota-params. + извличания на зона ограничава броя на едновременните заявки, които могат да бъдат изпратени за имена в рамките на един домейн. (Забележка: За разлика от "извличания на сървър" тази стойност не се самонастройва.) За да се проследи броят на запитванията, засегнати от тези квоти, бяха добавени статистически броячи.
• dig + ednsflags вече могат да се използват за задаване на вече дефинирани флагове на EDNS в DNS заявки.
• dig + [no] ednsnegotiation вече може да се използва за активиране / деактивиране на преговорите по EDNS версия.
• Вече е налице конфигуриран switch -enable-querytrace, за да се даде възможност за много подробно интерпретиране на заявката. Тази опция може да бъде зададена само при компилиране. Тази опция има отрицателно въздействие върху ефективността и трябва да се използва само за отстраняване на грешки.
• Промени в характеристиките:
• Големите промени в подписването на вписванията трябва да бъдат по-малко разрушителни. Подгрупата се генерира постепенно; броят на подписите, които ще се генерират във всяко кванти, се контролира от "sig-signing-signatures number". [RT # 37927]
• Експерименталното разширение SIT сега използва кода на опцията EDNS COOKIE (10) и се показва като "COOKIE:". Съществуващите директиви named.conf; "request-sit", "sit-secret" и "nosit-udp-size" все още са валидни и ще бъдат заменени от "send-cookie", "cookie-secret" и "nocookie-udp-size" , Съществуващата директива "+ sit" е все още валидна и ще бъде заменена с "+ cookie" в BIND 9.11.
• При повторно извършване на заявка чрез TCP, тъй като първият отговор е отрязан, dig ще изпрати правилно стойността на COOKIE, върната от сървъра, в предишния отговор. [RT # 39047]
• Извличането на обхвата на локалния порт от net.ipv4.ip_local_port_range на Linux вече се поддържа.
• Имената на Active Directory на формуляра gc._msdcs. са вече приети като валидни имена на хостове при използване на опцията за проверка на имена. е все още ограничено до букви, цифри и тирета.
• Имената, съдържащи обогатен текст, вече се приемат като валидни имена на хостове в записите PTR в DNS-SD обратните зони за търсене, както е посочено в RFC 6763. [RT # 37889]
• Корекции на грешки:
• Зареждането на асинхронните зони не е било правилно обработвано, когато товаренето на зона вече е в ход; това би могло да доведе до катастрофа в zt.c. [RT # 37573]
• Състезанието по време на изключване или преконфигуриране може да доведе до провал в анонсирането в мет.с. [RT # 38979]
• Някои опции за форматиране на отговор не работят правилно с dig + short. [RT # 39291]
• Неправилните записи на някои типове, включително NSAP и UNSPEC, биха могли да предизвикат неуспешни атаки при зареждане на текстови зонови файлове. [RT # 40274] [RT # 40285]
• Фиксирана е възможна катастрофа в честотата на ограничаване.в, причинена от съобщенията за NOTIFY, които се премахват от опашката за ограничаване на скоростта. [RT # 40350]
• Подразбиращият се rrset-порядък на случаен принцип е несъвместим. [RT # 40456]
• Отговорите на BADVERS от счупени авторитетни сървъри за имена не бяха обработени правилно. [RT # 40427]
<>Няколко грешки са били фиксирани в изпълнението на RPZ: + Политическите зони, които не изискват специална рекурсия, биха могли да бъдат третирани като че ли; следователно, задаване qname-wait-recurse no; понякога е неефективно. Това е коригирано. В повечето конфигурации промените в поведението, дължащи се на тази корекция, няма да бъдат забележими. [RT # 39229] + Сървърът би могъл да се срине, ако бяха актуализирани зони с правила (например чрез rndc reload или входящ трансфер на зони), докато RPZ обработката все още продължаваше за активна заявка. [RT # 39415] + При сървъри с една или повече зони на правилата, конфигурирани като подчинени, ако зона за правила, актуализирана по време на нормална работа (а не при стартиране), използвайки пълно презареждане на зони, като например чрез AXFR, данните да изпаднат от синхронизиране, което потенциално би довело до неуспех на твърдение в rpz.c, когато бяха извършени по-нататъшни постепенни актуализации в зоната, например чрез IXFR. [RT # 39567] + Сървърът би могъл да съответства на по-кратка префикс от това, което е на разположение в правилата на CLIENT-IP, и така може да се предприемат неочаквани действия. Това е коригирано. [RT # 39481] + Сървърът може да се срине, ако се зареди повторно зареждане на зона RPZ, докато друго презареждане на същата зона вече е в ход.

[RT # 39649] + Имената на заявките могат да съответстват на неправилната зона на правилата, ако са налице записи със заместващи символи. [RT # 40357]

Какво е новото във версия 9.11.0:

• Коригирания на сигурността:
• Неправилната проверка на границата в OPATPGPKEY rdatatype може да предизвика отказ на твърдение. Този недостатък е описан в CVE-2015-5986. [RT # 40286]
• Една буферна счетоводна грешка може да задейства неуспешно твърдение, когато се анализират някои неправилни ключове DNSSEC. Този недостатък е открит от Хано Бок от проекта Fuzzing и е разкрит в CVE-2015-5722. [RT # 40212]
• Специално изработената заявка може да предизвика отказ на твърдение в message.c. Този недостатък е открит от Джонатан Фуут и е разкрит в CVE-2015-5477. [RT # 40046]
• На сървърите, конфигурирани да извършват валидиране на DNSSEC, може да се задейства отказ на твърдение за отговорите от специално конфигуриран сървър. Този недостатък е открит от Breno Silveira Soares и е разкрит в CVE-2015-4620. [RT # 39795]
• Нови функции:
• Бяха добавени нови квоти, за да се ограничат заявките, изпратени от рекурсивните резолвери, до сървърите с авторитет, претърпели атаки срещу отказ от обслужване. Когато бъдат конфигурирани, тези опции могат едновременно да намалят вредата, причинена на авторитетни сървъри, и също така да избегнат изтощението на ресурсите, което може да бъде потърсено от рекурсивните, когато те се използват като средство за подобна атака. ЗАБЕЛЕЖКА: Тези опции не са достъпни по подразбиране; използвайте configure --enable-fetchlimit, за да ги включите в build. + извличания на сървър ограничава броя на едновременните заявки, които могат да бъдат изпратени до всеки един авторитетен сървър. Конфигурираната стойност е начална точка; тя автоматично се коригира надолу, ако сървърът е частично или напълно неотзивчив. Алгоритъмът, използван за коригиране на квотата, може да бъде конфигуриран чрез опцията fetch-quota-params. + извличания на зона ограничава броя на едновременните заявки, които могат да бъдат изпратени за имена в рамките на един домейн. (Забележка: За разлика от "извличания на сървър" тази стойност не се самонастройва.) За да се проследи броят на запитванията, засегнати от тези квоти, бяха добавени статистически броячи.
• dig + ednsflags вече могат да се използват за задаване на вече дефинирани флагове на EDNS в DNS заявки.
• dig + [no] ednsnegotiation вече може да се използва за активиране / деактивиране на преговорите по EDNS версия.
• Вече е налице конфигуриран switch -enable-querytrace, за да се даде възможност за много подробно интерпретиране на заявката. Тази опция може да бъде зададена само при компилиране. Тази опция има отрицателно въздействие върху ефективността и трябва да се използва само за отстраняване на грешки.
• Промени в характеристиките:
• Големите промени в подписването на вписванията трябва да бъдат по-малко разрушителни. Подгрупата се генерира постепенно; броят на подписите, които ще се генерират във всяко кванти, се контролира от "sig-signing-signatures number". [RT # 37927]
• Експерименталното разширение SIT сега използва кода на опцията EDNS COOKIE (10) и се показва като "COOKIE:". Съществуващите директиви named.conf; "request-sit", "sit-secret" и "nosit-udp-size" все още са валидни и ще бъдат заменени от "send-cookie", "cookie-secret" и "nocookie-udp-size" , Съществуващата директива "+ sit" е все още валидна и ще бъде заменена с "+ cookie" в BIND 9.11.
• При повторно извършване на заявка чрез TCP, тъй като първият отговор е отрязан, dig ще изпрати правилно стойността на COOKIE, върната от сървъра, в предишния отговор. [RT # 39047]
• Извличането на обхвата на локалния порт от net.ipv4.ip_local_port_range на Linux вече се поддържа.
• Имената на Active Directory на формуляра gc._msdcs. са вече приети като валидни имена на хостове при използване на опцията за проверка на имена. е все още ограничено до букви, цифри и тирета.
• Имената, съдържащи обогатен текст, вече се приемат като валидни имена на хостове в записите PTR в DNS-SD обратните зони за търсене, както е посочено в RFC 6763. [RT # 37889]
• Корекции на грешки:
• Зареждането на асинхронните зони не е било правилно обработвано, когато товаренето на зона вече е в ход; това би могло да доведе до катастрофа в zt.c. [RT # 37573]
• Състезанието по време на изключване или преконфигуриране може да доведе до провал в анонсирането в мет.с. [RT # 38979]
• Някои опции за форматиране на отговор не работят правилно с dig + short. [RT # 39291]
• Неправилните записи на някои типове, включително NSAP и UNSPEC, биха могли да предизвикат неуспешни атаки при зареждане на текстови зонови файлове. [RT # 40274] [RT # 40285]
• Фиксирана е възможна катастрофа в честотата на ограничаване.в, причинена от съобщенията за NOTIFY, които се премахват от опашката за ограничаване на скоростта. [RT # 40350]
• Подразбиращият се rrset-порядък на случаен принцип е несъвместим. [RT # 40456]
• Отговорите на BADVERS от счупени авторитетни сървъри за имена не бяха обработени правилно. [RT # 40427]
<>Няколко грешки са били фиксирани в изпълнението на RPZ: + Политическите зони, които не изискват специална рекурсия, биха могли да бъдат третирани като че ли; следователно, задаване qname-wait-recurse no; понякога е неефективно. Това е коригирано. В повечето конфигурации промените в поведението, дължащи се на тази корекция, няма да бъдат забележими. [RT # 39229] + Сървърът би могъл да се срине, ако бяха актуализирани зони с правила (например чрез rndc reload или входящ трансфер на зони), докато RPZ обработката все още продължаваше за активна заявка. [RT # 39415] + При сървъри с една или повече зони на правилата, конфигурирани като подчинени, ако зона за правила, актуализирана по време на нормална работа (а не при стартиране), използвайки пълно презареждане на зони, като например чрез AXFR, данните да изпаднат от синхронизиране, което потенциално би довело до неуспех на твърдение в rpz.c, когато бяха извършени по-нататъшни постепенни актуализации в зоната, например чрез IXFR. [RT # 39567] + Сървърът би могъл да съответства на по-кратка префикс от това, което е на разположение в правилата на CLIENT-IP, и така може да се предприемат неочаквани действия. Това е коригирано. [RT # 39481] + Сървърът може да се срине, ако се зареди повторно зареждане на зона RPZ, докато друго презареждане на същата зона вече е в ход.

[RT # 39649] + Имената на заявките могат да съответстват на неправилната зона на правилата, ако са налице записи със заместващи символи. [RT # 40357]

Какво е новото във версия 9.10.4-P3:

• Коригирания на сигурността:
• Неправилната проверка на границата в OPATPGPKEY rdatatype може да предизвика отказ на твърдение. Този недостатък е описан в CVE-2015-5986. [RT # 40286]
• Една буферна счетоводна грешка може да задейства неуспешно твърдение, когато се анализират някои неправилни ключове DNSSEC. Този недостатък е открит от Хано Бок от проекта Fuzzing и е разкрит в CVE-2015-5722. [RT # 40212]
• Специално изработената заявка може да предизвика отказ на твърдение в message.c. Този недостатък е открит от Джонатан Фуут и е разкрит в CVE-2015-5477. [RT # 40046]
• На сървърите, конфигурирани да извършват валидиране на DNSSEC, може да се задейства отказ на твърдение за отговорите от специално конфигуриран сървър. Този недостатък е открит от Breno Silveira Soares и е разкрит в CVE-2015-4620. [RT # 39795]
• Нови функции:
• Бяха добавени нови квоти, за да се ограничат заявките, изпратени от рекурсивните резолвери, до сървърите с авторитет, претърпели атаки срещу отказ от обслужване. Когато бъдат конфигурирани, тези опции могат едновременно да намалят вредата, причинена на авторитетни сървъри, и също така да избегнат изтощението на ресурсите, което може да бъде потърсено от рекурсивните, когато те се използват като средство за подобна атака. ЗАБЕЛЕЖКА: Тези опции не са достъпни по подразбиране; използвайте configure --enable-fetchlimit, за да ги включите в build. + извличания на сървър ограничава броя на едновременните заявки, които могат да бъдат изпратени до всеки един авторитетен сървър. Конфигурираната стойност е начална точка; тя автоматично се коригира надолу, ако сървърът е частично или напълно неотзивчив. Алгоритъмът, използван за коригиране на квотата, може да бъде конфигуриран чрез опцията fetch-quota-params. + извличания на зона ограничава броя на едновременните заявки, които могат да бъдат изпратени за имена в рамките на един домейн. (Забележка: За разлика от "извличания на сървър" тази стойност не се самонастройва.) За да се проследи броят на запитванията, засегнати от тези квоти, бяха добавени статистически броячи.
• dig + ednsflags вече могат да се използват за задаване на вече дефинирани флагове на EDNS в DNS заявки.
• dig + [no] ednsnegotiation вече може да се използва за активиране / деактивиране на преговорите по EDNS версия.
• Вече е налице конфигуриран switch -enable-querytrace, за да се даде възможност за много подробно интерпретиране на заявката. Тази опция може да бъде зададена само при компилиране. Тази опция има отрицателно въздействие върху ефективността и трябва да се използва само за отстраняване на грешки.
• Промени в характеристиките:
• Големите промени в подписването на вписванията трябва да бъдат по-малко разрушителни. Подгрупата се генерира постепенно; броят на подписите, които ще се генерират във всяко кванти, се контролира от "sig-signing-signatures number". [RT # 37927]
• Експерименталното разширение SIT сега използва кода на опцията EDNS COOKIE (10) и се показва като "COOKIE:". Съществуващите директиви named.conf; "request-sit", "sit-secret" и "nosit-udp-size" все още са валидни и ще бъдат заменени от "send-cookie", "cookie-secret" и "nocookie-udp-size" , Съществуващата директива "+ sit" е все още валидна и ще бъде заменена с "+ cookie" в BIND 9.11.
• При повторно извършване на заявка чрез TCP, тъй като първият отговор е отрязан, dig ще изпрати правилно стойността на COOKIE, върната от сървъра, в предишния отговор. [RT # 39047]
• Извличането на обхвата на локалния порт от net.ipv4.ip_local_port_range на Linux вече се поддържа.
• Имената на Active Directory на формуляра gc._msdcs. са вече приети като валидни имена на хостове при използване на опцията за проверка на имена. е все още ограничено до букви, цифри и тирета.
• Имената, съдържащи обогатен текст, вече се приемат като валидни имена на хостове в записите PTR в DNS-SD обратните зони за търсене, както е посочено в RFC 6763. [RT # 37889]
• Корекции на грешки:
• Зареждането на асинхронните зони не е било правилно обработвано, когато товаренето на зона вече е в ход; това би могло да доведе до катастрофа в zt.c. [RT # 37573]
• Състезанието по време на изключване или преконфигуриране може да доведе до провал в анонсирането в мет.с. [RT # 38979]
• Някои опции за форматиране на отговор не работят правилно с dig + short. [RT # 39291]
• Неправилните записи на някои типове, включително NSAP и UNSPEC, биха могли да предизвикат неуспешни атаки при зареждане на текстови зонови файлове. [RT # 40274] [RT # 40285]
• Фиксирана е възможна катастрофа в честотата на ограничаване.в, причинена от съобщенията за NOTIFY, които се премахват от опашката за ограничаване на скоростта. [RT # 40350]
• Подразбиращият се rrset-порядък на случаен принцип е несъвместим. [RT # 40456]
• Отговорите на BADVERS от счупени авторитетни сървъри за имена не бяха обработени правилно. [RT # 40427]
<>Няколко грешки са били фиксирани в изпълнението на RPZ: + Политическите зони, които не изискват специална рекурсия, биха могли да бъдат третирани като че ли; следователно, задаване qname-wait-recurse no; понякога е неефективно. Това е коригирано. В повечето конфигурации промените в поведението, дължащи се на тази корекция, няма да бъдат забележими. [RT # 39229] + Сървърът би могъл да се срине, ако бяха актуализирани зони с правила (например чрез rndc reload или входящ трансфер на зони), докато RPZ обработката все още продължаваше за активна заявка. [RT # 39415] + При сървъри с една или повече зони на правилата, конфигурирани като подчинени, ако зона за правила, актуализирана по време на нормална работа (а не при стартиране), използвайки пълно презареждане на зони, като например чрез AXFR, данните да изпаднат от синхронизиране, което потенциално би довело до неуспех на твърдение в rpz.c, когато бяха извършени по-нататъшни постепенни актуализации в зоната, например чрез IXFR. [RT # 39567] + Сървърът би могъл да съответства на по-кратка префикс от това, което е на разположение в правилата на CLIENT-IP, и така може да се предприемат неочаквани действия. Това е коригирано. [RT # 39481] + Сървърът може да се срине, ако се зареди повторно зареждане на зона RPZ, докато друго презареждане на същата зона вече е в ход.[RT # 39649] + имената на заявките могат да съответстват на неправилната зона на правилата, ако са налице записи със заместващи символи. [RT # 40357]