Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.31 и 9.16.15, а также находящейся в разработке экспериментальной ветки 9.17.12. В новых выпусках устранены три уязвимости, одна из которых (CVE-2021-25216) приводит к переполнению буфера. На 32-разрядных системах уязвимость может быть эксплуатирована для удалённого выполнения кода злоумышленника через отправку специально оформленного запроса GSS-TSIG. На 64-системах проблема ограничивается крахом процесса named.

Проблема проявляется только при включении механизма GSS-TSIG, активируемого при помощи настроек tkey-gssapi-keytab и tkey-gssapi-credential. GSS-TSIG отключён в конфигурации по умолчанию и обычно применяется в смешанных окружениях, в которых BIND сочетается с контроллерами домена Active Directory, или при интеграции с Samba.

Уязвимость вызвана ошибкой в реализации механизма SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), применяемого в GSSAPI для согласования используемых клиентом и сервером методов защиты. GSSAPI используется в качестве высокоуровневого протокола для защищённого обмена ключами при помощи расширения GSS-TSIG, применяемого в процессе проверки подлинности динамических обновлений DNS-зон.
Разработчики DNS-сервера BIND сообщили о добавлении в экспериментальную ветку 9.17 реализации серверной поддержки технологий "DNS поверх HTTPS" (DoH, DNS over HTTPS) и DNS поверх TLS (DoT, DNS over TLS), а также механизма XFR-over-TLS для безопасной передачи содержимого DNS-зон между серверами. DoH доступен для тестирования в выпуске 9.17.10, а поддержка DoT присутствует начиная с выпуска 9.17.7. После стабилизации поддержка DoT и DoH будет бэкпортирована в стабильную ветку 9.16.

Реализация протокола HTTP/2, используемого в DoH, основана на применении библиотеки nghttp2, которая включена в число сборочных зависимостей (в дальнейшем библиотеку планируется перевести в число необязательных зависимостей). Поддерживаются как шифрованные (TLS), так и незашифрованные соединения по HTTP/2. При соответствующих настройках один процесс named теперь может обслуживать не только традиционные DNS-запросы, но и запросы, отправленные с использованием DoH (DNS-over-HTTPS) и DoT (DNS-over-TLS). Поддержка HTTPS на стороне клиента (dig) пока не реализована. Поддержка XFR-over-TLS доступна как для входящих, так и для исходящих запросов.
В пакете Dnsmasq, объединяющем кэширующий DNS-резолвер и сервер DHCP, выявлено 7 уязвимостей, которым присвоено кодовое имя DNSpooq. Проблемы позволяют осуществить атаки по подстановке фиктивных данных в кэш DNS или вызвать переполнение буфера, потенциально способное привести к удалённому выполнению кода атакующего. Уязвимости устранены в сегодняшнем обновлении Dnsmasq 2.83. В качестве обходных путей защиты рекомендуется отключить DNSSEC и кэширование запросов при помощи опций командной строки "--dnssec" и "--cache-size=0" или настроек "dnssec" (нужно закомментировать) и "cache-size=0" в файле конфигурации dnsmasq.conf.
Доступны обновления авторитетного (authoritative) DNS-сервера PowerDNS Authoritative Server 4.3.1, 4.2.3 и 4.1.14, в которых устранены четыре уязвимости, две из которых потенциально могут привести к удалённому выполнению кода атакующего.
Опубликован релиз KnotDNS 3.0.0, высокопроизводительного авторитативного DNS сервера (рекурсор выполнен в виде отдельного приложения), поддерживающего все современные возможности DNS. Проект разрабатывается чешским реестром имен CZ.NIC, написан на языке Си и распространяется под лицензией GPLv3.

KnotDNS отличается ориентацией на высокую производительность обработки запросов, для чего применяется многопоточная, и по большей части неблокирующая реализация, хорошо масштабируемая на SMP-системах. Предоставляются такие возможности, как добавление и удаление зон на лету, передача зон между серверами, DDNS (динамические обновления), NSID (RFC 5001), расширения EDNS0 и DNSSEC (включая NSEC3), ограничения интенсивности ответов (RRL).
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.22 и 9.16.6, а также находящейся в разработке экспериментальной ветки 9.17.4. В новых выпусках устранено 5 уязвимостей. Наиболее опасная уязвимость (CVE-2020-8620) позволяет удалённо вызвать отказ в обслуживании через отправку определённого набора пакетов на TCP-порт, на котором принимает соединения BIND. Отправка на TCP-порт аномально больших запросов AXFR, может привести к тому, что обслуживающая TCP-соединение библиотека libuv передаст серверу размер, приводящий к срабатыванию проверки assertion и завершению процесса.
Стоит сейчас bind, собранный опциями --prefix=/opt/bind --with-tuning=large --enable-threads --with-openssl --with-libtool. Потребовалось вынести DNS сервер, т.к. нагрузка получилась на нем немаленькая. Обратил внимание на Knot. Но есть нюанс - разные адреса для разных сетей должны отдаваться. Что из этого получится - посмотрим.
После 11 месяцев разработки консорциум ISC представил первый стабильный релиз новой значительной ветки DNS-сервера BIND 9.16. Поддержка ветки 9.16 будет осуществляться в течение трёх лет до 2 квартала 2023 года в рамках расширенного цикла сопровождения. Обновления для прошлой LTS-ветки 9.11 продолжат выпускаться до декабря 2021 года. Поддержка ветки 9.14 прекратится через три месяца.
После более года разработки консорциум ISC представил первый стабильный релиз новой значительной ветки DNS-сервера BIND 9.14. Поддержка ветки 9.14 будет осуществляться до 2 квартала 2020 года в рамках штатного цикла сопровождения. В следующем году будет сформирован LTS релиз 9.16, который будет поддерживаться три года. Обновления для прошлой LTS-ветки 9.11 продолжат выпускаться до декабря 2021 года. Поддержка ветки 9.12 прекратиться в июне.

BIND 9.14.0 стал первым стабильный выпуском, сформированным в рамках новой схемы нумерации версий. Нечётные номера релизов теперь присваиваются экспериментальным веткам, в которых развивается функциональность для будущих стабильных веток, имеющих чётный номер выпуска. Формирование отдельных альфа- и бета-веток прекращено. Таким образом, ветка BIND 9.13 была экспериментальной и на её базе сформирован стабильный релиз BIND 9.14.