BIND

BIND (Berkeley Internet Name Domain) es un software de línea de comandos de UNIX que distribuye una implementación de fuente abierta de los protocolos del Sistema de nombres de dominio (DNS). Está compuesto por una biblioteca de resolución, un servidor / daemon llamado `named ', así como herramientas de software para probar y verificar el correcto funcionamiento de los servidores DNS.

Originalmente escrito en la Universidad de California en Berkeley, BIND fue suscrito por numerosas organizaciones, incluyendo Sun Microsystems, HP, Compaq, IBM, Silicon Graphics, Network Associates, Agencia de Sistemas de Información de Defensa de los Estados Unidos, Asociación USENIX, Process Software Corporation, Nominum, y Stichting NLNet & ndash; Fundación NLNet.

Como se mencionó, BIND consta de un servidor de sistema de nombre de dominio, una biblioteca de resolución de sistema de nombre de dominio y herramientas de software para probar servidores. Mientras que la implementación del servidor DNS se encarga de responder todas las preguntas recibidas mediante el uso de las reglas establecidas en los estándares oficiales del protocolo DNS, la biblioteca de resolución DNS resuelve las preguntas sobre los nombres de dominio.

Sistemas operativos compatibles

BIND ha sido diseñado específicamente para la plataforma GNU / Linux y debería funcionar bien con cualquier distribución de Linux, incluyendo Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, openSUSE, Mageia, y muchos otros. Admite arquitecturas de conjuntos de instrucciones de 32 bits y de 64 bits.

El proyecto se distribuye como un archivo tarball único y universal que incluye el código fuente de BIND, lo que permite a los usuarios optimizar el software para su plataforma de hardware y sistema operativo (ver más arriba para sistemas operativos y arquitecturas compatibles).

Qué hay de nuevo en esta versión:

• Un error de codificación en la función de redirección de nxdomain podría provocar una falla de aserción si el espacio de nombres de redirección se sirvió desde una fuente de datos autorizada local, como una zona local o una DLZ en lugar de una búsqueda recursiva. Este defecto se describe en CVE-2016-9778. [RT # 43837]
• Nombrado podría manipular mal las secciones de autoridad que faltaban RRSIG que desencadenaban una falla de aserción. Este defecto se describe en CVE-2016-9444. [RT # 43632]
• Se denominó mal manejo de algunas respuestas cuando se devuelven los registros de RRSIG sin los datos solicitados que dan como resultado una falla de aserción. Este defecto se describe en CVE-2016-9147. [RT # 43548]
• Nombró incorrectamente que intentó almacenar en caché los registros TKEY, lo que podría desencadenar un error de aserción cuando había una discrepancia de clase. Este defecto se describe en CVE-2016-9131. [RT # 43522]
• Se pudieron desencadenar aserciones al procesar una respuesta. Este defecto se describe en CVE-2016-8864. [RT # 43465]

Qué hay de nuevo en la versión 9.11.2:

• Un error de codificación en la función de redirección de nxdomain podría provocar una falla de aserción si el espacio de nombres de redirección se sirvió desde una fuente de datos autorizada local, como una zona local o una DLZ en lugar de una búsqueda recursiva. Este defecto se describe en CVE-2016-9778. [RT # 43837]
• Nombrado podría manipular mal las secciones de autoridad que faltaban RRSIG que desencadenaban una falla de aserción. Este defecto se describe en CVE-2016-9444. [RT # 43632]
• Se denominó mal manejo de algunas respuestas cuando se devuelven los registros de RRSIG sin los datos solicitados que dan como resultado una falla de aserción. Este defecto se describe en CVE-2016-9147. [RT # 43548]
• Nombró incorrectamente que intentó almacenar en caché los registros TKEY, lo que podría desencadenar un error de aserción cuando había una discrepancia de clase. Este defecto se describe en CVE-2016-9131. [RT # 43522]
• Se pudieron desencadenar aserciones al procesar una respuesta. Este defecto se describe en CVE-2016-8864. [RT # 43465]

Qué hay de nuevo en la versión 9.11.1-P3:

• Un error de codificación en la función de redirección de nxdomain podría provocar una falla de aserción si el espacio de nombres de redirección se sirvió desde una fuente de datos autorizada local, como una zona local o una DLZ en lugar de una búsqueda recursiva. Este defecto se describe en CVE-2016-9778. [RT # 43837]
• Nombrado podría manipular mal las secciones de autoridad que faltaban RRSIG que desencadenaban una falla de aserción. Este defecto se describe en CVE-2016-9444. [RT # 43632]
• Se denominó mal manejo de algunas respuestas cuando se devuelven los registros de RRSIG sin los datos solicitados que dan como resultado una falla de aserción. Este defecto se describe en CVE-2016-9147. [RT # 43548]
• Nombró incorrectamente que intentó almacenar en caché los registros TKEY, lo que podría desencadenar un error de aserción cuando había una discrepancia de clase. Este defecto se describe en CVE-2016-9131. [RT # 43522]
• Se pudieron desencadenar aserciones al procesar una respuesta. Este defecto se describe en CVE-2016-8864. [RT # 43465]

Qué hay de nuevo en la versión 9.11.1-P1:

• Un error de codificación en la función de redirección de nxdomain podría provocar una falla de aserción si el espacio de nombres de redirección se sirvió desde una fuente de datos autorizada local, como una zona local o una DLZ en lugar de una búsqueda recursiva. Este defecto se describe en CVE-2016-9778. [RT # 43837]
• Nombrado podría manipular mal las secciones de autoridad que faltaban RRSIG que desencadenaban una falla de aserción. Este defecto se describe en CVE-2016-9444. [RT # 43632]
• Se denominó mal manejo de algunas respuestas cuando se devuelven los registros de RRSIG sin los datos solicitados que dan como resultado una falla de aserción. Este defecto se describe en CVE-2016-9147. [RT # 43548]
• Nombró incorrectamente que intentó almacenar en caché los registros TKEY, lo que podría desencadenar un error de aserción cuando había una discrepancia de clase. Este defecto se describe en CVE-2016-9131. [RT # 43522]
• Se pudieron desencadenar aserciones al procesar una respuesta. Este defecto se describe en CVE-2016-8864. [RT # 43465]

Qué hay de nuevo en la versión 9.11.1:

• Un error de codificación en la función de redirección de nxdomain podría provocar una falla de aserción si el espacio de nombres de redirección se sirvió desde una fuente de datos autorizada local, como una zona local o una DLZ en lugar de una búsqueda recursiva. Este defecto se describe en CVE-2016-9778. [RT # 43837]
• Nombrado podría manipular mal las secciones de autoridad que faltaban RRSIG que desencadenaban una falla de aserción. Este defecto se describe en CVE-2016-9444. [RT # 43632]
• Se denominó mal manejo de algunas respuestas cuando se devuelven los registros de RRSIG sin los datos solicitados que dan como resultado una falla de aserción. Este defecto se describe en CVE-2016-9147. [RT # 43548]
• Nombró incorrectamente que intentó almacenar en caché los registros TKEY, lo que podría desencadenar un error de aserción cuando había una discrepancia de clase. Este defecto se describe en CVE-2016-9131. [RT # 43522]
• Se pudieron desencadenar aserciones al procesar una respuesta. Este defecto se describe en CVE-2016-8864. [RT # 43465]

Qué hay de nuevo en la versión 9.11.0-P2:

• Un error de codificación en la función de redirección de nxdomain podría provocar un error de aserción si el espacio de nombres de redirección se sirvió desde una fuente de datos autorizada local, como una zona local o una DLZ, en lugar de a través de una búsqueda recursiva. Este defecto se describe en CVE-2016-9778. [RT # 43837]
• Nombrado podría manipular mal las secciones de autoridad que faltaban RRSIG que desencadenaban una falla de aserción. Este defecto se describe en CVE-2016-9444. [RT # 43632]
• Se denominó mal manejo de algunas respuestas cuando se devuelven los registros de RRSIG sin que los datos solicitados resulten en una falla de aserción. Este defecto se describe en CVE-2016-9147. [RT # 43548]
• Nombró incorrectamente que intentó almacenar en caché los registros TKEY, lo que podría desencadenar un error de aserción cuando había una falta de coincidencia de clase. Este defecto se describe en CVE-2016-9131. [RT # 43522]
• Se pudieron desencadenar aserciones al procesar una respuesta. Este defecto se describe en CVE-2016-8864. [RT # 43465]

Qué hay de nuevo en la versión 9.11.0-P1:

• Soluciones de seguridad:
• Una verificación de límite incorrecta en el tipo de rótulo OPENPGPKEY podría desencadenar una falla de aserción. Este defecto se describe en CVE-2015-5986. [RT # 40286]
• Un error de contabilidad de búfer podría desencadenar una falla de aserción al analizar ciertas claves DNSSEC mal formadas. Este defecto fue descubierto por Hanno Bock del Fuzzing Project, y se revela en CVE-2015-5722. [RT # 40212]
• Una consulta especialmente diseñada podría desencadenar un error de aserción en message.c. Este error fue descubierto por Jonathan Foote, y se revela en CVE-2015-5477. [RT # 40046]
• En los servidores configurados para realizar la validación de DNSSEC, una falla de aserción podría activarse en las respuestas de un servidor especialmente configurado. Este error fue descubierto por Breno Silveira Soares, y se revela en CVE-2015-4620. [RT # 39795]
• Nuevas características:
• Se han agregado nuevas cuotas para limitar las consultas enviadas por los resolutores recursivos a los servidores autorizados que sufren ataques de denegación de servicio. Cuando se configuran, estas opciones pueden reducir el daño causado a los servidores autorizados y también evitar el agotamiento de recursos que pueden experimentar los recursivos cuando se utilizan como vehículo para dicho ataque. NOTA: estas opciones no están disponibles por defecto; use configure --enable-fetchlimit para incluirlos en la compilación. + fetches-per-server limita el número de consultas simultáneas que pueden enviarse a cualquier servidor autoritativo. El valor configurado es un punto de partida; se ajusta automáticamente hacia abajo si el servidor es parcial o completamente no receptivo. El algoritmo utilizado para ajustar la cuota se puede configurar a través de la opción fetch-quota-params. + fetches-per-zone limita el número de consultas simultáneas que se pueden enviar para nombres dentro de un único dominio. (Nota: a diferencia de "fetches-per-server", este valor no se autoajusta). Los contadores de estadísticas también se agregaron para rastrear el número de consultas afectadas por estas cuotas.
• dig + ednsflags ahora se puede usar para establecer indicadores EDNS aún por definir en solicitudes de DNS.
• dig + [no] ednsnegotiation ahora se puede usar para habilitar / deshabilitar la negociación de versiones de EDNS.
• Ahora está disponible un modificador de configuración de habilitar-query-tracy para habilitar el registro de rutas de consulta muy detallado. Esta opción solo se puede configurar en tiempo de compilación. Esta opción tiene un impacto negativo en el rendimiento y debe usarse solo para la depuración.
• Cambios de funciones:
• Los grandes cambios en la firma en línea deberían ser menos perjudiciales. La generación de firmas ahora se hace de forma incremental; el número de firmas que se generarán en cada quantum se controla mediante el "número de sig-signing-firmas"; [RT # 37927]
• La extensión SIT experimental ahora usa el punto de código de opción EDNS COOKIE (10) y se muestra como "COOKIE:". Las directivas named.conf existentes; "request-sit", "sit-secret" y "nosit-udp-size", siguen siendo válidos y serán reemplazados por "send-cookie", "cookie-secret" y "nocookie-udp-size" en BIND 9.11 . La directiva de extracción existente "+ sit" sigue siendo válida y se reemplazará por "+ cookie" en BIND 9.11.
• Al volver a intentar una consulta a través de TCP debido a que se truncó la primera respuesta, dig ahora enviará correctamente el valor de COOKIE devuelto por el servidor en la respuesta anterior. [RT # 39047]
• Ahora se admite la recuperación del rango del puerto local de net.ipv4.ip_local_port_range en Linux.
• Nombres de Active Directory del formulario gc._msdcs. ahora se aceptan como nombres de host válidos cuando se utiliza la opción check-names. todavía está restringido a letras, dígitos y guiones.
• Los nombres que contienen texto enriquecido ahora se aceptan como nombres de host válidos en registros PTR en zonas de búsqueda inversa de DNS-SD, como se especifica en RFC 6763. [RT # 37889]
• Corrección de errores:
• Las cargas de zonas asíncronas no se manejaban correctamente cuando la carga de zona ya estaba en curso; esto podría desencadenar un bloqueo en zt.c. [RT # 37573]
• Una carrera durante el cierre o la reconfiguración podría causar una falla de aserción en mem.c. [RT # 38979]
• Algunas opciones de formato de respuesta no funcionaron correctamente con dig + short. [RT # 39291]
• Los registros mal formados de algunos tipos, incluidos NSAP y UNSPEC, podrían desencadenar errores de aserción al cargar archivos de zona de texto. [RT # 40274] [RT # 40285]
• Se arregló una posible falla en ratelimiter.c provocada por la eliminación de los mensajes NOTIFY de la cola del limitador de tasa incorrecta. [RT # 40350]
• El orden predeterminado de rrset aleatorio se aplica de forma inconsistente. [RT # 40456]
• Las respuestas de BADVERS de los servidores de nombres autorizados rotos no se manejaron correctamente. [RT # 40427]
• Se han corregido varios errores en la implementación de RPZ: + Las zonas de política que no requerían específicamente la recursión se podían tratar como si lo hicieran; en consecuencia, establecer qname-wait-recurse no; a veces fue ineficaz. Esto ha sido corregido En la mayoría de las configuraciones, los cambios de comportamiento debidos a esta corrección no se notarán. [RT # 39229] + El servidor podría bloquearse si las zonas de política se actualizaran (por ejemplo, a través de una recarga de rndc o una transferencia de zona entrante) mientras el procesamiento de RPZ todavía estaba en curso para una consulta activa. [RT # 39415] + En servidores con una o más zonas de política configuradas como esclavos, si una zona de política se actualizó durante el funcionamiento normal (en lugar de al inicio) utilizando una recarga de zona completa, como a través de AXFR, un error podría permitir el resumen de RPZ los datos no están sincronizados, lo que puede conducir a una falla de aserción en rpz.c cuando se realizan nuevas actualizaciones incrementales en la zona, como a través de IXFR. [RT # 39567] + El servidor podría coincidir con un prefijo más corto que el que estaba disponible en los activadores de políticas CLIENT-IP, por lo que se podría tomar una acción inesperada. Esto ha sido corregido [RT # 39481] + El servidor podría bloquearse si se iniciara una recarga de una zona RPZ mientras otra recarga de la misma zona ya estaba en progreso.

  [RT # 39649] + Los nombres de consulta podrían coincidir con la zona de política incorrecta si los registros de comodín estuvieran presentes. [RT # 40357]

Qué hay de nuevo en la versión 9.11.0:

• Soluciones de seguridad:
• Una verificación de límite incorrecta en el tipo de rótulo OPENPGPKEY podría desencadenar una falla de aserción. Este defecto se describe en CVE-2015-5986. [RT # 40286]
• Un error de contabilidad de búfer podría desencadenar una falla de aserción al analizar ciertas claves DNSSEC mal formadas. Este defecto fue descubierto por Hanno Bock del Fuzzing Project, y se revela en CVE-2015-5722. [RT # 40212]
• Una consulta especialmente diseñada podría desencadenar un error de aserción en message.c. Este error fue descubierto por Jonathan Foote, y se revela en CVE-2015-5477. [RT # 40046]
• En los servidores configurados para realizar la validación de DNSSEC, una falla de aserción podría activarse en las respuestas de un servidor especialmente configurado. Este error fue descubierto por Breno Silveira Soares, y se revela en CVE-2015-4620. [RT # 39795]
• Nuevas características:
• Se han agregado nuevas cuotas para limitar las consultas enviadas por los resolutores recursivos a los servidores autorizados que sufren ataques de denegación de servicio. Cuando se configuran, estas opciones pueden reducir el daño causado a los servidores autorizados y también evitar el agotamiento de recursos que pueden experimentar los recursivos cuando se utilizan como vehículo para dicho ataque. NOTA: estas opciones no están disponibles por defecto; use configure --enable-fetchlimit para incluirlos en la compilación. + fetches-per-server limita el número de consultas simultáneas que pueden enviarse a cualquier servidor autoritativo. El valor configurado es un punto de partida; se ajusta automáticamente hacia abajo si el servidor es parcial o completamente no receptivo. El algoritmo utilizado para ajustar la cuota se puede configurar a través de la opción fetch-quota-params. + fetches-per-zone limita el número de consultas simultáneas que se pueden enviar para nombres dentro de un único dominio. (Nota: a diferencia de "fetches-per-server", este valor no se autoajusta). Los contadores de estadísticas también se agregaron para rastrear el número de consultas afectadas por estas cuotas.
• dig + ednsflags ahora se puede usar para establecer indicadores EDNS aún por definir en solicitudes de DNS.
• dig + [no] ednsnegotiation ahora se puede usar para habilitar / deshabilitar la negociación de versiones de EDNS.
• Ahora está disponible un modificador de configuración de habilitar-query-tracy para habilitar el registro de rutas de consulta muy detallado. Esta opción solo se puede configurar en tiempo de compilación. Esta opción tiene un impacto negativo en el rendimiento y debe usarse solo para la depuración.
• Cambios de funciones:
• Los grandes cambios en la firma en línea deberían ser menos perjudiciales. La generación de firmas ahora se hace de forma incremental; el número de firmas que se generarán en cada quantum se controla mediante el "número de sig-signing-firmas"; [RT # 37927]
• La extensión SIT experimental ahora usa el punto de código de opción EDNS COOKIE (10) y se muestra como "COOKIE:". Las directivas named.conf existentes; "request-sit", "sit-secret" y "nosit-udp-size", siguen siendo válidos y serán reemplazados por "send-cookie", "cookie-secret" y "nocookie-udp-size" en BIND 9.11 . La directiva de extracción existente "+ sit" sigue siendo válida y se reemplazará por "+ cookie" en BIND 9.11.
• Al volver a intentar una consulta a través de TCP debido a que se truncó la primera respuesta, dig ahora enviará correctamente el valor de COOKIE devuelto por el servidor en la respuesta anterior. [RT # 39047]
• Ahora se admite la recuperación del rango del puerto local de net.ipv4.ip_local_port_range en Linux.
• Nombres de Active Directory del formulario gc._msdcs. ahora se aceptan como nombres de host válidos cuando se utiliza la opción check-names. todavía está restringido a letras, dígitos y guiones.
• Los nombres que contienen texto enriquecido ahora se aceptan como nombres de host válidos en registros PTR en zonas de búsqueda inversa de DNS-SD, como se especifica en RFC 6763. [RT # 37889]
• Corrección de errores:
• Las cargas de zonas asíncronas no se manejaban correctamente cuando la carga de zona ya estaba en curso; esto podría desencadenar un bloqueo en zt.c. [RT # 37573]
• Una carrera durante el cierre o la reconfiguración podría causar una falla de aserción en mem.c. [RT # 38979]
• Algunas opciones de formato de respuesta no funcionaron correctamente con dig + short. [RT # 39291]
• Los registros mal formados de algunos tipos, incluidos NSAP y UNSPEC, podrían desencadenar errores de aserción al cargar archivos de zona de texto. [RT # 40274] [RT # 40285]
• Se arregló una posible falla en ratelimiter.c provocada por la eliminación de los mensajes NOTIFY de la cola del limitador de tasa incorrecta. [RT # 40350]
• El orden predeterminado de rrset aleatorio se aplica de forma inconsistente. [RT # 40456]
• Las respuestas de BADVERS de los servidores de nombres autorizados rotos no se manejaron correctamente. [RT # 40427]
• Se han corregido varios errores en la implementación de RPZ: + Las zonas de política que no requerían específicamente la recursión se podían tratar como si lo hicieran; en consecuencia, establecer qname-wait-recurse no; a veces fue ineficaz. Esto ha sido corregido En la mayoría de las configuraciones, los cambios de comportamiento debidos a esta corrección no se notarán. [RT # 39229] + El servidor podría bloquearse si las zonas de política se actualizaran (por ejemplo, a través de una recarga de rndc o una transferencia de zona entrante) mientras el procesamiento de RPZ todavía estaba en curso para una consulta activa. [RT # 39415] + En servidores con una o más zonas de política configuradas como esclavos, si una zona de política se actualizó durante el funcionamiento normal (en lugar de al inicio) utilizando una recarga de zona completa, como a través de AXFR, un error podría permitir el resumen de RPZ los datos no están sincronizados, lo que puede conducir a una falla de aserción en rpz.c cuando se realizan nuevas actualizaciones incrementales en la zona, como a través de IXFR. [RT # 39567] + El servidor podría coincidir con un prefijo más corto que el que estaba disponible en los activadores de políticas CLIENT-IP, por lo que se podría tomar una acción inesperada. Esto ha sido corregido [RT # 39481] + El servidor podría bloquearse si se iniciara una recarga de una zona RPZ mientras otra recarga de la misma zona ya estaba en progreso.

  [RT # 39649] + Los nombres de consulta podrían coincidir con la zona de política incorrecta si los registros de comodín estuvieran presentes. [RT # 40357]

Qué hay de nuevo en la versión 9.10.4-P3:

• Soluciones de seguridad:
• Una verificación de límite incorrecta en el tipo de rótulo OPENPGPKEY podría desencadenar una falla de aserción. Este defecto se describe en CVE-2015-5986. [RT # 40286]
• Un error de contabilidad de búfer podría desencadenar una falla de aserción al analizar ciertas claves DNSSEC mal formadas. Este defecto fue descubierto por Hanno Bock del Fuzzing Project, y se revela en CVE-2015-5722. [RT # 40212]
• Una consulta especialmente diseñada podría desencadenar un error de aserción en message.c. Este error fue descubierto por Jonathan Foote, y se revela en CVE-2015-5477. [RT # 40046]
• En los servidores configurados para realizar la validación de DNSSEC, una falla de aserción podría activarse en las respuestas de un servidor especialmente configurado. Este error fue descubierto por Breno Silveira Soares, y se revela en CVE-2015-4620. [RT # 39795]
• Nuevas características:
• Se han agregado nuevas cuotas para limitar las consultas enviadas por los resolutores recursivos a los servidores autorizados que sufren ataques de denegación de servicio. Cuando se configuran, estas opciones pueden reducir el daño causado a los servidores autorizados y también evitar el agotamiento de recursos que pueden experimentar los recursivos cuando se utilizan como vehículo para dicho ataque. NOTA: estas opciones no están disponibles por defecto; use configure --enable-fetchlimit para incluirlos en la compilación. + fetches-per-server limita el número de consultas simultáneas que pueden enviarse a cualquier servidor autoritativo. El valor configurado es un punto de partida; se ajusta automáticamente hacia abajo si el servidor es parcial o completamente no receptivo. El algoritmo utilizado para ajustar la cuota se puede configurar a través de la opción fetch-quota-params. + fetches-per-zone limita el número de consultas simultáneas que se pueden enviar para nombres dentro de un único dominio. (Nota: a diferencia de "fetches-per-server", este valor no se autoajusta). Los contadores de estadísticas también se agregaron para rastrear el número de consultas afectadas por estas cuotas.
• dig + ednsflags ahora se puede usar para establecer indicadores EDNS aún por definir en solicitudes de DNS.
• dig + [no] ednsnegotiation ahora se puede usar para habilitar / deshabilitar la negociación de versiones de EDNS.
• Ahora está disponible un modificador de configuración de habilitar-query-tracy para habilitar el registro de rutas de consulta muy detallado. Esta opción solo se puede configurar en tiempo de compilación. Esta opción tiene un impacto negativo en el rendimiento y debe usarse solo para la depuración.
• Cambios de funciones:
• Los grandes cambios en la firma en línea deberían ser menos perjudiciales. La generación de firmas ahora se hace de forma incremental; el número de firmas que se generarán en cada quantum se controla mediante el "número de sig-signing-firmas"; [RT # 37927]
• La extensión SIT experimental ahora usa el punto de código de opción EDNS COOKIE (10) y se muestra como "COOKIE:". Las directivas named.conf existentes; "request-sit", "sit-secret" y "nosit-udp-size", siguen siendo válidos y serán reemplazados por "send-cookie", "cookie-secret" y "nocookie-udp-size" en BIND 9.11 . La directiva de extracción existente "+ sit" sigue siendo válida y se reemplazará por "+ cookie" en BIND 9.11.
• Al volver a intentar una consulta a través de TCP debido a que se truncó la primera respuesta, dig ahora enviará correctamente el valor de COOKIE devuelto por el servidor en la respuesta anterior. [RT # 39047]
• Ahora se admite la recuperación del rango del puerto local de net.ipv4.ip_local_port_range en Linux.
• Nombres de Active Directory del formulario gc._msdcs. ahora se aceptan como nombres de host válidos cuando se utiliza la opción check-names. todavía está restringido a letras, dígitos y guiones.
• Los nombres que contienen texto enriquecido ahora se aceptan como nombres de host válidos en registros PTR en zonas de búsqueda inversa de DNS-SD, como se especifica en RFC 6763. [RT # 37889]
• Corrección de errores:
• Las cargas de zonas asíncronas no se manejaban correctamente cuando la carga de zona ya estaba en curso; esto podría desencadenar un bloqueo en zt.c. [RT # 37573]
• Una carrera durante el cierre o la reconfiguración podría causar una falla de aserción en mem.c. [RT # 38979]
• Algunas opciones de formato de respuesta no funcionaron correctamente con dig + short. [RT # 39291]
• Los registros mal formados de algunos tipos, incluidos NSAP y UNSPEC, podrían desencadenar errores de aserción al cargar archivos de zona de texto. [RT # 40274] [RT # 40285]
• Se arregló una posible falla en ratelimiter.c provocada por la eliminación de los mensajes NOTIFY de la cola del limitador de tasa incorrecta. [RT # 40350]
• El orden predeterminado de rrset aleatorio se aplica de forma inconsistente. [RT # 40456]
• Las respuestas de BADVERS de los servidores de nombres autorizados rotos no se manejaron correctamente. [RT # 40427]
• Se han corregido varios errores en la implementación de RPZ: + Las zonas de política que no requerían específicamente la recursión se podían tratar como si lo hicieran; en consecuencia, establecer qname-wait-recurse no; a veces fue ineficaz. Esto ha sido corregido En la mayoría de las configuraciones, los cambios de comportamiento debidos a esta corrección no se notarán. [RT # 39229] + El servidor podría bloquearse si las zonas de política se actualizaran (por ejemplo, a través de una recarga de rndc o una transferencia de zona entrante) mientras el procesamiento de RPZ todavía estaba en curso para una consulta activa. [RT # 39415] + En servidores con una o más zonas de política configuradas como esclavos, si una zona de política se actualizó durante el funcionamiento normal (en lugar de al inicio) utilizando una recarga de zona completa, como a través de AXFR, un error podría permitir el resumen de RPZ los datos no están sincronizados, lo que puede conducir a una falla de aserción en rpz.c cuando se realizan nuevas actualizaciones incrementales en la zona, como a través de IXFR. [RT # 39567] + El servidor podría coincidir con un prefijo más corto que el que estaba disponible en los activadores de políticas CLIENT-IP, por lo que se podría tomar una acción inesperada. Esto ha sido corregido [RT # 39481] + El servidor podría bloquearse si se iniciara una recarga de una zona RPZ mientras otra recarga de la misma zona ya estaba en progreso.[RT # 39649] + Los nombres de consulta podrían coincidir con la zona de política incorrecta si los registros de comodín estuvieran presentes. [RT # 40357]