BIND

BIND (Berkeley Internet Name Domain) é um software UNIX de linha de comando que distribui uma implementação de código aberto dos protocolos do Sistema de Nome de Domínio (DNS). É composta por uma biblioteca de resolução, um servidor / daemon chamado `named ', bem como ferramentas de software para testar e verificar o bom funcionamento dos servidores DNS.

Originalmente escrito na Universidade da Califórnia em Berkeley, a BIND foi subscrita por numerosas organizações, incluindo a Sun Microsystems, a HP, a Compaq, a IBM, Silicon Graphics, Network Associates, a US Defense Information Systems Agency, a USENIX Association, a Process Software Corporation, o Nominum, e Stichting NLNet & ndash; Fundação NLNet.

Conforme mencionado, o BIND é composto por um servidor de sistema de nomes de domínio, uma biblioteca de resolução de sistema de nomes de domínio e ferramentas de software para testar servidores. Enquanto a implementação do servidor DNS é responsável por responder todas as perguntas recebidas usando as regras estabelecidas nos padrões de protocolo DNS oficiais, a biblioteca do resolvedor de DNS resolve perguntas sobre nomes de domínio.

Sistemas operacionais suportados

O BIND foi projetado especificamente para a plataforma GNU / Linux e deve funcionar bem com qualquer distribuição de Linux, incluindo Debian, Ubuntu, Arch Linux, Fedora, CentOS, Red Hat Enterprise Linux, Slackware, Gentoo, openSUSE, Mageia, e muitos outros. Ele suporta arquiteturas de conjunto de instruções de 32 bits e 64 bits.

O projeto é distribuído como um tarball único e universal que inclui o código-fonte do BIND, permitindo aos usuários otimizar o software para sua plataforma de hardware e sistema operacional (veja acima para sistemas operacionais e arquiteturas suportados).

O que é novo nesta versão:

• Um erro de codificação no recurso de redirecionamento de nxdomain pode levar a uma falha de afirmação se o namespace de redirecionamento fosse veiculado a partir de uma fonte de dados autorizada local, como uma zona local ou uma DLZ em vez de uma pesquisa recursiva. Esta falha é divulgada no CVE-2016-9778. [RT # 43837]
• Nomeado poderia manipular as seções de autoridade que estavam faltando RRSIGs desencadeando uma falha de afirmação. Esta falha é divulgada no CVE-2016-9444. [RT # 43632]
• Nomeado manipulou algumas respostas onde a cobrança de registros RRSIG é retornada sem os dados solicitados resultando em uma falha de afirmação. Esta falha é divulgada no CVE-2016-9147. [RT # 43548]
• Nomeado incorretamente tentou armazenar em cache registros TKEY que poderiam desencadear uma falha de afirmação quando houve uma incompatibilidade de classe. Esta falha é divulgada no CVE-2016-9131. [RT # 43522]
• Foi possível desencadear asserções ao processar uma resposta. Esta falha é divulgada no CVE-2016-8864. [RT # 43465]

O que é novo na versão 9.11.2:

• Um erro de codificação no recurso de redirecionamento de nxdomain pode levar a uma falha de afirmação se o namespace de redirecionamento fosse veiculado a partir de uma fonte de dados autorizada local, como uma zona local ou uma DLZ em vez de uma pesquisa recursiva. Esta falha é divulgada no CVE-2016-9778. [RT # 43837]
• Nomeado poderia manipular as seções de autoridade que estavam faltando RRSIGs desencadeando uma falha de afirmação. Esta falha é divulgada no CVE-2016-9444. [RT # 43632]
• Nomeado manipulou algumas respostas onde a cobrança de registros RRSIG é retornada sem os dados solicitados resultando em uma falha de afirmação. Esta falha é divulgada no CVE-2016-9147. [RT # 43548]
• Nomeado incorretamente tentou armazenar em cache registros TKEY que poderiam desencadear uma falha de afirmação quando houve uma incompatibilidade de classe. Esta falha é divulgada no CVE-2016-9131. [RT # 43522]
• Foi possível desencadear asserções ao processar uma resposta. Esta falha é divulgada no CVE-2016-8864. [RT # 43465]

O que há de novo na versão 9.11.1-P3:

• Um erro de codificação no recurso de redirecionamento de nxdomain pode levar a uma falha de afirmação se o namespace de redirecionamento fosse veiculado a partir de uma fonte de dados autorizada local, como uma zona local ou uma DLZ em vez de uma pesquisa recursiva. Esta falha é divulgada no CVE-2016-9778. [RT # 43837]
• Nomeado poderia manipular as seções de autoridade que estavam faltando RRSIGs desencadeando uma falha de afirmação. Esta falha é divulgada no CVE-2016-9444. [RT # 43632]
• Nomeado manipulou algumas respostas onde a cobrança de registros RRSIG é retornada sem os dados solicitados resultando em uma falha de afirmação. Esta falha é divulgada no CVE-2016-9147. [RT # 43548]
• Nomeado incorretamente tentou armazenar em cache registros TKEY que poderiam desencadear uma falha de afirmação quando houve uma incompatibilidade de classe. Esta falha é divulgada no CVE-2016-9131. [RT # 43522]
• Foi possível desencadear asserções ao processar uma resposta. Esta falha é divulgada no CVE-2016-8864. [RT # 43465]

O que é novo na versão 9.11.1-P1:

• Um erro de codificação no recurso de redirecionamento de nxdomain pode levar a uma falha de afirmação se o namespace de redirecionamento fosse veiculado a partir de uma fonte de dados autorizada local, como uma zona local ou uma DLZ em vez de uma pesquisa recursiva. Esta falha é divulgada no CVE-2016-9778. [RT # 43837]
• Nomeado poderia manipular as seções de autoridade que estavam faltando RRSIGs desencadeando uma falha de afirmação. Esta falha é divulgada no CVE-2016-9444. [RT # 43632]
• Nomeado manipulou algumas respostas onde a cobrança de registros RRSIG é retornada sem os dados solicitados resultando em uma falha de afirmação. Esta falha é divulgada no CVE-2016-9147. [RT # 43548]
• Nomeado incorretamente tentou armazenar em cache registros TKEY que poderiam desencadear uma falha de afirmação quando houve uma incompatibilidade de classe. Esta falha é divulgada no CVE-2016-9131. [RT # 43522]
• Foi possível desencadear asserções ao processar uma resposta. Esta falha é divulgada no CVE-2016-8864. [RT # 43465]

O que é novo na versão 9.11.1:

• Um erro de codificação no recurso de redirecionamento de nxdomain pode levar a uma falha de afirmação se o namespace de redirecionamento fosse veiculado a partir de uma fonte de dados autorizada local, como uma zona local ou uma DLZ em vez de uma pesquisa recursiva. Esta falha é divulgada no CVE-2016-9778. [RT # 43837]
• Nomeado poderia manipular as seções de autoridade que estavam faltando RRSIGs desencadeando uma falha de afirmação. Esta falha é divulgada no CVE-2016-9444. [RT # 43632]
• Nomeado manipulou algumas respostas onde a cobrança de registros RRSIG é retornada sem os dados solicitados resultando em uma falha de afirmação. Esta falha é divulgada no CVE-2016-9147. [RT # 43548]
• Nomeado incorretamente tentou armazenar em cache registros TKEY que poderiam desencadear uma falha de afirmação quando houve uma incompatibilidade de classe. Esta falha é divulgada no CVE-2016-9131. [RT # 43522]
• Foi possível desencadear asserções ao processar uma resposta. Esta falha é divulgada no CVE-2016-8864. [RT # 43465]

O que há de novo na versão 9.11.0-P2:

• Um erro de codificação no recurso de redirecionamento de nxdomain pode levar a uma falha de afirmação se o espaço de nome de redirecionamento fosse veiculado a partir de uma fonte de dados autorizada local, como uma zona local ou uma DLZ em vez de uma pesquisa recursiva. Esta falha é divulgada no CVE-2016-9778. [RT # 43837]
• Nomeado poderia manipular as seções de autoridade que estavam faltando RRSIGs desencadeando uma falha de afirmação. Esta falha é divulgada no CVE-2016-9444. [RT # 43632]
• Nomeado manipulou algumas respostas onde a cobrança de registros RRSIG é retornada sem os dados solicitados resultando em uma falha de afirmação. Esta falha é divulgada no CVE-2016-9147. [RT # 43548]
• Nomeado incorretamente tentou armazenar em cache registros TKEY que poderiam desencadear uma falha de afirmação quando houve uma incompatibilidade de classe. Esta falha é divulgada no CVE-2016-9131. [RT # 43522]
• Foi possível desencadear asserções ao processar uma resposta. Esta falha é divulgada no CVE-2016-8864. [RT # 43465]

O que é novo na versão 9.11.0-P1:

• Correções de segurança:
• Uma verificação de limite incorreta no formato de arquivo OPENPGPKEY pode desencadear uma falha de afirmação. Esta falha é divulgada no CVE-2015-5986. [RT # 40286]
• Um erro de contabilização do buffer pode desencadear uma falha de afirmação ao analisar certas chaves DNSSEC malformadas. Essa falha foi descoberta por Hanno Bock do Projeto Fuzzing, e é divulgada no CVE-2015-5722. [RT # 40212]
• Uma consulta especialmente criada pode desencadear uma falha de asserção na mensagem.c. Esta falha foi descoberta por Jonathan Foote, e é divulgada no CVE-2015-5477. [RT # 40046]
• Nos servidores configurados para executar a validação DNSSEC, uma falha de afirmação pode ser acionada nas respostas de um servidor especialmente configurado. Essa falha foi descoberta por Breno Silveira Soares, e é divulgada no CVE-2015-4620. [RT # 39795]
• Novos recursos:
• Novas cotas foram adicionadas para limitar as consultas que são enviadas por resursores recursivos para servidores autênticos que experimentam ataques de negação de serviço. Quando configuradas, essas opções podem reduzir o dano causado aos servidores autorizados e também evitar o esgotamento dos recursos que podem ser experimentados por recursivos quando estão sendo usados ​​como veículo para tal ataque. NOTA: estas opções não estão disponíveis por padrão; use configure --enable-fetchlimit para incluí-los na compilação. + fetches-per-server limita o número de consultas simultâneas que podem ser enviadas para qualquer servidor autenticado. O valor configurado é um ponto de partida; é ajustado automaticamente para baixo se o servidor for parcial ou totalmente não responsivo. O algoritmo usado para ajustar a cota pode ser configurado através da opção fetch-quota-params. + fetches-per-zone limita o número de consultas simultâneas que podem ser enviadas para nomes dentro de um único domínio. (Nota: Ao contrário de "fetches-per-server", este valor não é auto-ajuste.) Os contadores de estatísticas também foram adicionados para rastrear o número de consultas afetadas por essas cotas.
• dig + ednsflags agora podem ser usados ​​para definir sinalizadores EDNS ainda a serem definidos nas solicitações de DNS.
• dig + [não] ednsnegotiation agora pode ser usado habilitar / desabilitar a negociação da versão EDNS.
• Uma opção --hable-querytrace configure switch agora está disponível para habilitar o tracelagem muito detalhado da consulta. Esta opção só pode ser configurada em tempo de compilação. Esta opção tem um impacto de desempenho negativo e deve ser usada apenas para depuração.
• Alterações de recursos:
• As grandes mudanças de assinatura em linha devem ser menos perturbadoras. A geração de assinatura agora é feita de forma incremental; o número de assinaturas a serem geradas em cada quantum é controlado por "sig-signature-signatures number;". [RT # 37927]
• A extensão SIT experimental agora usa o ponto de código da opção EDNS COOKIE (10) e é exibida como "COOKIE:". As diretrizes existentes named.conf; "request-sit", "sit-secret" e "nosit-udp-size", ainda são válidos e serão substituídos por "send-cookie", "cookie-secret" e "nocookie-udp-size" no BIND 9.11 . A diretiva de escavação existente "+ sentar" ainda é válida e será substituída por "+ cookie" no BIND 9.11.
• Ao tentar novamente uma consulta via TCP devido à trunção da primeira resposta, dig agora enviará corretamente o valor COOKIE retornado pelo servidor na resposta anterior. [RT # 39047]
• Recuperando o alcance da porta local de net.ipv4.ip_local_port_range no Linux agora é suportado.
• Nomes do Active Directory do formulário gc._msdcs. agora são aceitos como nomes de host válidos ao usar a opção check-names. ainda está restrito a letras, dígitos e hifens.
• Os nomes que contêm texto rico agora são aceitos como nomes de host válidos em registros PTR em zonas de pesquisa inversa DNS-SD, conforme especificado na RFC 6763. [RT # 37889]
• Correções de erros:
• As cargas da zona assíncrona não foram manipuladas corretamente quando a carga da zona já estava em andamento; Isso poderia desencadear um acidente em zt.c. [RT # 37573]
• Uma corrida durante o desligamento ou reconfiguração pode causar uma falha de afirmação em mem.c. [RT # 38979]
• Algumas opções de formatação de resposta não funcionaram corretamente com dig + short. [RT # 39291]
• Os registros malformados de alguns tipos, incluindo NSAP e UNSPEC, podem desencadear falhas de asserção ao carregar arquivos de zona de texto. [RT # 40274] [RT # 40285]
• Corrigido um possível bloqueio no ratelimiter.c causado por NOTIFY mensagens sendo removidas da fila de limitador de taxa incorreta. [RT # 40350]
• O padrão de ordem do rrset de aleatório foi aplicado de forma inconsistente. [RT # 40456]
• As respostas de BADVERS de servidores de nomes autorizados com falha não foram tratadas corretamente. [RT # 40427]
• Vários bugs foram corrigidos na implementação RPZ: + As zonas de política que não requerem especificamente a recursão podem ser tratadas como se tivessem feito; conseqüentemente, configurando qname-wait-recurse no; às vezes era ineficaz. Isso foi corrigido. Na maioria das configurações, as alterações comportamentais devido a esta correção não serão notáveis. [RT # 39229] + O servidor poderia falhar se as zonas de políticas fossem atualizadas (por exemplo, via recarregamento do rndc ou uma transferência de zona recebida) enquanto o processamento da RPZ ainda estava em andamento para uma consulta ativa. [RT # 39415] + Em servidores com uma ou mais zonas de política configuradas como escravas, se uma zona de política atualizada durante a operação regular (em vez de na inicialização) usando uma recarga de zona completa, como via AXFR, um erro poderia permitir o resumo da RPZ dados para cair fora de sincronia, potencialmente levando a uma falha de afirmação no rpz.c quando foram feitas atualizações incrementais adicionais na zona, como via IXFR. [RT # 39567] + O servidor poderia combinar um prefixo mais curto do que o que estava disponível nos gatilhos de política do CLIENT-IP e, portanto, uma ação inesperada poderia ser tomada. Isso foi corrigido. [RT # 39481] + O servidor pode falhar se um recarregamento de uma zona RPZ foi iniciado enquanto outro recarregamento da mesma zona já estava em andamento.

  [RT # 39649] + Os nomes de consulta podem coincidir com a zona de política errada se houver registros curinga presentes. [RT # 40357]

O que é novo na versão 9.11.0:

• Correções de segurança:
• Uma verificação de limite incorreta no formato de arquivo OPENPGPKEY pode desencadear uma falha de afirmação. Esta falha é divulgada no CVE-2015-5986. [RT # 40286]
• Um erro de contabilização do buffer pode desencadear uma falha de afirmação ao analisar certas chaves DNSSEC malformadas. Essa falha foi descoberta por Hanno Bock do Projeto Fuzzing, e é divulgada no CVE-2015-5722. [RT # 40212]
• Uma consulta especialmente criada pode desencadear uma falha de asserção na mensagem.c. Esta falha foi descoberta por Jonathan Foote, e é divulgada no CVE-2015-5477. [RT # 40046]
• Nos servidores configurados para executar a validação DNSSEC, uma falha de afirmação pode ser acionada nas respostas de um servidor especialmente configurado. Essa falha foi descoberta por Breno Silveira Soares, e é divulgada no CVE-2015-4620. [RT # 39795]
• Novos recursos:
• Novas cotas foram adicionadas para limitar as consultas que são enviadas por resursores recursivos para servidores autênticos que experimentam ataques de negação de serviço. Quando configuradas, essas opções podem reduzir o dano causado aos servidores autorizados e também evitar o esgotamento dos recursos que podem ser experimentados por recursivos quando estão sendo usados ​​como veículo para tal ataque. NOTA: estas opções não estão disponíveis por padrão; use configure --enable-fetchlimit para incluí-los na compilação. + fetches-per-server limita o número de consultas simultâneas que podem ser enviadas para qualquer servidor autenticado. O valor configurado é um ponto de partida; é ajustado automaticamente para baixo se o servidor for parcial ou totalmente não responsivo. O algoritmo usado para ajustar a cota pode ser configurado através da opção fetch-quota-params. + fetches-per-zone limita o número de consultas simultâneas que podem ser enviadas para nomes dentro de um único domínio. (Nota: Ao contrário de "fetches-per-server", este valor não é auto-ajuste.) Os contadores de estatísticas também foram adicionados para rastrear o número de consultas afetadas por essas cotas.
• dig + ednsflags agora podem ser usados ​​para definir sinalizadores EDNS ainda a serem definidos nas solicitações de DNS.
• dig + [não] ednsnegotiation agora pode ser usado habilitar / desabilitar a negociação da versão EDNS.
• Uma opção --hable-querytrace configure switch agora está disponível para habilitar o tracelagem muito detalhado da consulta. Esta opção só pode ser configurada em tempo de compilação. Esta opção tem um impacto de desempenho negativo e deve ser usada apenas para depuração.
• Alterações de recursos:
• As grandes mudanças de assinatura em linha devem ser menos perturbadoras. A geração de assinatura agora é feita de forma incremental; o número de assinaturas a serem geradas em cada quantum é controlado por "sig-signature-signatures number;". [RT # 37927]
• A extensão SIT experimental agora usa o ponto de código da opção EDNS COOKIE (10) e é exibida como "COOKIE:". As diretrizes existentes named.conf; "request-sit", "sit-secret" e "nosit-udp-size", ainda são válidos e serão substituídos por "send-cookie", "cookie-secret" e "nocookie-udp-size" no BIND 9.11 . A diretiva de escavação existente "+ sentar" ainda é válida e será substituída por "+ cookie" no BIND 9.11.
• Ao tentar novamente uma consulta via TCP devido à trunção da primeira resposta, dig agora enviará corretamente o valor COOKIE retornado pelo servidor na resposta anterior. [RT # 39047]
• Recuperando o alcance da porta local de net.ipv4.ip_local_port_range no Linux agora é suportado.
• Nomes do Active Directory do formulário gc._msdcs. agora são aceitos como nomes de host válidos ao usar a opção check-names. ainda está restrito a letras, dígitos e hifens.
• Os nomes que contêm texto rico agora são aceitos como nomes de host válidos em registros PTR em zonas de pesquisa inversa DNS-SD, conforme especificado na RFC 6763. [RT # 37889]
• Correções de erros:
• As cargas da zona assíncrona não foram manipuladas corretamente quando a carga da zona já estava em andamento; Isso poderia desencadear um acidente em zt.c. [RT # 37573]
• Uma corrida durante o desligamento ou reconfiguração pode causar uma falha de afirmação em mem.c. [RT # 38979]
• Algumas opções de formatação de resposta não funcionaram corretamente com dig + short. [RT # 39291]
• Os registros malformados de alguns tipos, incluindo NSAP e UNSPEC, podem desencadear falhas de asserção ao carregar arquivos de zona de texto. [RT # 40274] [RT # 40285]
• Corrigido um possível bloqueio no ratelimiter.c causado por NOTIFY mensagens sendo removidas da fila de limitador de taxa incorreta. [RT # 40350]
• O padrão de ordem do rrset de aleatório foi aplicado de forma inconsistente. [RT # 40456]
• As respostas de BADVERS de servidores de nomes autorizados com falha não foram tratadas corretamente. [RT # 40427]
• Vários bugs foram corrigidos na implementação RPZ: + As zonas de política que não requerem especificamente a recursão podem ser tratadas como se tivessem feito; conseqüentemente, configurando qname-wait-recurse no; às vezes era ineficaz. Isso foi corrigido. Na maioria das configurações, as alterações comportamentais devido a esta correção não serão notáveis. [RT # 39229] + O servidor poderia falhar se as zonas de políticas fossem atualizadas (por exemplo, via recarregamento do rndc ou uma transferência de zona recebida) enquanto o processamento da RPZ ainda estava em andamento para uma consulta ativa. [RT # 39415] + Em servidores com uma ou mais zonas de política configuradas como escravas, se uma zona de política atualizada durante a operação regular (em vez de na inicialização) usando uma recarga de zona completa, como via AXFR, um erro poderia permitir o resumo da RPZ dados para cair fora de sincronia, potencialmente levando a uma falha de afirmação no rpz.c quando foram feitas atualizações incrementais adicionais na zona, como via IXFR. [RT # 39567] + O servidor poderia combinar um prefixo mais curto do que o que estava disponível nos gatilhos de política do CLIENT-IP e, portanto, uma ação inesperada poderia ser tomada. Isso foi corrigido. [RT # 39481] + O servidor pode falhar se um recarregamento de uma zona RPZ foi iniciado enquanto outro recarregamento da mesma zona já estava em andamento.

  [RT # 39649] + Os nomes de consulta podem coincidir com a zona de política errada se houver registros curinga presentes. [RT # 40357]

O que há de novo na versão 9.10.4-P3:

• Correções de segurança:
• Uma verificação de limite incorreta no formato de arquivo OPENPGPKEY pode desencadear uma falha de afirmação. Esta falha é divulgada no CVE-2015-5986. [RT # 40286]
• Um erro de contabilização do buffer pode desencadear uma falha de afirmação ao analisar certas chaves DNSSEC malformadas. Essa falha foi descoberta por Hanno Bock do Projeto Fuzzing, e é divulgada no CVE-2015-5722. [RT # 40212]
• Uma consulta especialmente criada pode desencadear uma falha de asserção na mensagem.c. Esta falha foi descoberta por Jonathan Foote, e é divulgada no CVE-2015-5477. [RT # 40046]
• Nos servidores configurados para executar a validação DNSSEC, uma falha de afirmação pode ser acionada nas respostas de um servidor especialmente configurado. Essa falha foi descoberta por Breno Silveira Soares, e é divulgada no CVE-2015-4620. [RT # 39795]
• Novos recursos:
• Novas cotas foram adicionadas para limitar as consultas que são enviadas por resursores recursivos para servidores autênticos que experimentam ataques de negação de serviço. Quando configuradas, essas opções podem reduzir o dano causado aos servidores autorizados e também evitar o esgotamento dos recursos que podem ser experimentados por recursivos quando estão sendo usados ​​como veículo para tal ataque. NOTA: estas opções não estão disponíveis por padrão; use configure --enable-fetchlimit para incluí-los na compilação. + fetches-per-server limita o número de consultas simultâneas que podem ser enviadas para qualquer servidor autenticado. O valor configurado é um ponto de partida; é ajustado automaticamente para baixo se o servidor for parcial ou totalmente não responsivo. O algoritmo usado para ajustar a cota pode ser configurado através da opção fetch-quota-params. + fetches-per-zone limita o número de consultas simultâneas que podem ser enviadas para nomes dentro de um único domínio. (Nota: Ao contrário de "fetches-per-server", este valor não é auto-ajuste.) Os contadores de estatísticas também foram adicionados para rastrear o número de consultas afetadas por essas cotas.
• dig + ednsflags agora podem ser usados ​​para definir sinalizadores EDNS ainda a serem definidos nas solicitações de DNS.
• dig + [não] ednsnegotiation agora pode ser usado habilitar / desabilitar a negociação da versão EDNS.
• Uma opção --hable-querytrace configure switch agora está disponível para habilitar o tracelagem muito detalhado da consulta. Esta opção só pode ser configurada em tempo de compilação. Esta opção tem um impacto de desempenho negativo e deve ser usada apenas para depuração.
• Alterações de recursos:
• As grandes mudanças de assinatura em linha devem ser menos perturbadoras. A geração de assinatura agora é feita de forma incremental; o número de assinaturas a serem geradas em cada quantum é controlado por "sig-signature-signatures number;". [RT # 37927]
• A extensão SIT experimental agora usa o ponto de código da opção EDNS COOKIE (10) e é exibida como "COOKIE:". As diretrizes existentes named.conf; "request-sit", "sit-secret" e "nosit-udp-size", ainda são válidos e serão substituídos por "send-cookie", "cookie-secret" e "nocookie-udp-size" no BIND 9.11 . A diretiva de escavação existente "+ sentar" ainda é válida e será substituída por "+ cookie" no BIND 9.11.
• Ao tentar novamente uma consulta via TCP devido à trunção da primeira resposta, dig agora enviará corretamente o valor COOKIE retornado pelo servidor na resposta anterior. [RT # 39047]
• Recuperando o alcance da porta local de net.ipv4.ip_local_port_range no Linux agora é suportado.
• Nomes do Active Directory do formulário gc._msdcs. agora são aceitos como nomes de host válidos ao usar a opção check-names. ainda está restrito a letras, dígitos e hifens.
• Os nomes que contêm texto rico agora são aceitos como nomes de host válidos em registros PTR em zonas de pesquisa inversa DNS-SD, conforme especificado na RFC 6763. [RT # 37889]
• Correções de erros:
• As cargas da zona assíncrona não foram manipuladas corretamente quando a carga da zona já estava em andamento; Isso poderia desencadear um acidente em zt.c. [RT # 37573]
• Uma corrida durante o desligamento ou reconfiguração pode causar uma falha de afirmação em mem.c. [RT # 38979]
• Algumas opções de formatação de resposta não funcionaram corretamente com dig + short. [RT # 39291]
• Os registros malformados de alguns tipos, incluindo NSAP e UNSPEC, podem desencadear falhas de asserção ao carregar arquivos de zona de texto. [RT # 40274] [RT # 40285]
• Corrigido um possível bloqueio no ratelimiter.c causado por NOTIFY mensagens sendo removidas da fila de limitador de taxa incorreta. [RT # 40350]
• O padrão de ordem do rrset de aleatório foi aplicado de forma inconsistente. [RT # 40456]
• As respostas de BADVERS de servidores de nomes autorizados com falha não foram tratadas corretamente. [RT # 40427]
• Vários bugs foram corrigidos na implementação RPZ: + As zonas de política que não requerem especificamente a recursão podem ser tratadas como se tivessem feito; conseqüentemente, configurando qname-wait-recurse no; às vezes era ineficaz. Isso foi corrigido. Na maioria das configurações, as alterações comportamentais devido a esta correção não serão notáveis. [RT # 39229] + O servidor poderia falhar se as zonas de políticas fossem atualizadas (por exemplo, via recarregamento do rndc ou uma transferência de zona recebida) enquanto o processamento da RPZ ainda estava em andamento para uma consulta ativa. [RT # 39415] + Em servidores com uma ou mais zonas de política configuradas como escravas, se uma zona de política atualizada durante a operação regular (em vez de na inicialização) usando uma recarga de zona completa, como via AXFR, um erro poderia permitir o resumo da RPZ dados para cair fora de sincronia, potencialmente levando a uma falha de afirmação no rpz.c quando foram feitas atualizações incrementais adicionais na zona, como via IXFR. [RT # 39567] + O servidor poderia combinar um prefixo mais curto do que o que estava disponível nos gatilhos de política do CLIENT-IP e, portanto, uma ação inesperada poderia ser tomada. Isso foi corrigido. [RT # 39481] + O servidor pode falhar se um recarregamento de uma zona RPZ foi iniciado enquanto outro recarregamento da mesma zona já estava em andamento.[RT # 39649] + Os nomes de consulta podem coincidir com a zona de política errada se houver registros curinga presentes. [RT # 40357]