contrib/bind9/RELEASE-NOTES-BIND-9.6-ESV.txt

   1      __________________________________________________________________
   2
   3 Introduction
   4
   5    BIND 9.6-ESV-R3 is a maintenance release for BIND 9.6-ESV.
   6
   7    This document summarizes changes from BIND 9.6-ESV-R1 to BIND
   8    9.6-ESV-R3. Please see the CHANGES file in the source code release for
   9    a complete list of all changes.
  10
  11 Download
  12
  13    The latest release of BIND 9 software can always be found on our web
  14    site at http://www.isc.org/software/bind. There you will find
  15    additional information about each release, source code, and some
  16    pre-compiled versions for certain operating systems.
  17
  18 Support
  19
  20    Product support information is available on
  21    http://www.isc.org/services/support for paid support options. Free
  22    support is provided by our user community via a mailing list.
  23    Information on all public email lists is available at
  24    https://lists.isc.org/mailman/listinfo.
  25
  26 New Features
  27
  28 9.6-ESV-R2
  29
  30    None.
  31
  32 9.6-ESV-R3
  33
  34    None.
  35
  36 Feature Changes
  37
  38 9.6-ESV-R2
  39
  40    None.
  41
  42 9.6-ESV-R3
  43
  44    None.
  45
  46 Security Fixes
  47
  48 9.6-ESV-R2
  49
  50    None.
  51
  52 9.6-ESV-R3
  53
  54      * Adding a NO DATA signed negative response to cache failed to clear
  55        any matching RRSIG records already in cache. A subsequent lookup of
  56        the cached NO DATA entry could crash named (INSIST) when the
  57        unexpected RRSIG was also returned with the NO DATA cache entry.
  58        [RT #22288] [CVE-2010-3613] [VU#706148]
  59      * BIND, acting as a DNSSEC validator, was determining if the NS RRset
  60        is insecure based on a value that could mean either that the RRset
  61        is actually insecure or that there wasn't a matching key for the
  62        RRSIG in the DNSKEY RRset when resuming from validating the DNSKEY
  63        RRset. This can happen when in the middle of a DNSKEY algorithm
  64        rollover, when two different algorithms were used to sign a zone
  65        but only the new set of keys are in the zone DNSKEY RRset. [RT
  66        #22309] [CVE-2010-3614] [VU#837744]
  67
  68 Bug Fixes
  69
  70 9.6-ESV-R2
  71
  72      * Check that named successfully skips NSEC3 records that fail to
  73        match the NSEC3PARAM record currently in use. [RT #21868]
  74      * Worked around a race condition in the cache database memory
  75        handling. Without this fix a DNS cache DB or ADB could incorrectly
  76        stay in an over memory state, effectively refusing further caching,
  77        which subsequently made a BIND 9 caching server unworkable. [RT
  78        #21818]
  79      * BIND did not properly handle non-cacheable negative responses from
  80        insecure zones. This caused several non-protocol-compliant zones to
  81        become unresolvable. BIND is now more accepting of responses it
  82        receives from less strict servers. [RT #21555]
  83      * The resolver could attempt to destroy a fetch context too soon,
  84        resulting in a crash. [RT #19878]
  85      * The placeholder negative caching element was not properly
  86        constructed triggering a crash (INSIST) in dns_ncache_towire(). [RT
  87        #21346]
  88      * Handle the introduction of new trusted-keys and DS, DLV RRsets
  89        better. [RT #21097]
  90      * Fix arguments to dns_keytable_findnextkeynode() call. [RT #20877]
  91
  92 9.6-ESV-R3
  93
  94      * Microsoft changed the behavior of sockets between NT/XP based
  95        stacks vs Vista/windows7 stacks. Server 2003/2008 have the older
  96        behavior, 2008r2 has the new behavior. With the change, different
  97        error results are possible, so ISC adapted BIND to handle the new
  98        error results. This resolves an issue where sockets would shut down
  99        on Windows servers causing named to stop responding to queries. [RT
 100        #21906]
 101      * Windows has non-POSIX compliant behavior in its rename() and
 102        unlink() calls. This caused journal compaction to fail on Windows
 103        BIND servers with the log error: "dns_journal_compact failed:
 104        failure". [RT #22434]
 105      * 'host -D' now turns on debugging messages earlier. [RT #22361]
 106      * isc_print_vsnprintf() failed to check if there was space available
 107        in the buffer when adding a left justified character with a non
 108        zero width, (e.g. "%-1c"). [RT #22270]
 109      * view->queryacl was being overloaded. Seperate the usage into
 110        view->queryacl, view->cacheacl and view->queryonacl. [RT #22114]
 111      * win32: add more dependencies to BINDBuild.dsw. [RT #22062]
 112      * win32: named-checkzone and named-checkconf failed to initialise
 113        winsock. [RT #21932]
 114      * named failed to generate a correct signed response in a optout,
 115        delegation only zone with no secure delegations. [RT #22007]
 116
 117 Known issues in this release
 118
 119      * "make test" will fail on OSX and possibly other operating systems.
 120        The failure occurs in a new test to check for allow-query ACLs. The
 121        failure is caused because the source address is not specified on
 122        the dig commands issued in the test.
 123        If running "make test" is part of your usual acceptance process,
 124        please edit the file bin/tests/system/allow_query/test.sh and add
 125        -b 10.53.0.2
 126        to the DIGOPTS line.
 127
 128 Thank You
 129
 130    Thank you to everyone who assisted us in making this release possible.
 131    If you would like to contribute to ISC to assist us in continuing to
 132    make quality open source software, please visit our donations page at
 133    http://www.isc.org/supportisc.