]> CyberLeo.Net >> Repos - FreeBSD/stable/8.git/blob - contrib/bind9/RELEASE-NOTES-BIND-9.6-ESV.txt
MFC: r233747, r233748
[FreeBSD/stable/8.git] / contrib / bind9 / RELEASE-NOTES-BIND-9.6-ESV.txt
1      __________________________________________________________________
2
3 Introduction
4
5    BIND 9.6-ESV-R5 is the current production release of BIND 9.6.
6
7    This document summarizes changes from BIND 9.6-ESV-R4 to BIND
8    9.6-ESV-R5. Please see the CHANGES file in the source code release for
9    a complete list of all changes.
10
11 Download
12
13    The latest release of BIND 9 software can always be found on our web
14    site at http://www.isc.org/downloads/all. There you will find
15    additional information about each release, source code, and some
16    pre-compiled versions for certain operating systems.
17
18 Support
19
20    Product support information is available on
21    http://www.isc.org/services/support for paid support options. Free
22    support is provided by our user community via a mailing list.
23    Information on all public email lists is available at
24    https://lists.isc.org/mailman/listinfo.
25
26 New Features
27
28 9.6-ESV-R5
29
30      * Added a tool able to generate malformed packets to allow testing of
31        how named handles them. [RT #24096]
32
33 Security Fixes
34
35 9.6-ESV-R5
36
37      * named, set up to be a caching resolver, is vulnerable to a user
38        querying a domain with very large resource record sets (RRSets)
39        when trying to negatively cache the response. Due to an off-by-one
40        error, caching the response could cause named to crash. [RT #24650]
41        [CVE-2011-1910]
42      * Change #2912 populated the message section in replies to UPDATE
43        requests, which some Windows clients wanted. This exposed a latent
44        bug that allowed the response message to crash named. With this
45        fix, change 2912 has been reduced to copy only the zone section to
46        the reply. A more complete fix for the latent bug will be released
47        later. [RT #24777]
48
49 Feature Changes
50
51 9.6-ESV-R5
52
53      * Merged in the NetBSD ATF test framework (currently version 0.12)
54        for development of future unit tests. Use configure --with-atf to
55        build ATF internally or configure --with-atf=prefix to use an
56        external copy. [RT #23209]
57      * Added more verbose error reporting from DLZ LDAP. [RT #23402]
58      * Replaced compile time constant with STDTIME_ON_32BITS. [RT #23587]
59
60 Bug Fixes
61
62 9.6-ESV-R5
63
64      * During RFC5011 processing some journal write errors were not
65        detected. This could lead to managed-keys changes being committed
66        but not recorded in the journal files, causing potential
67        inconsistencies during later processing. [RT #20256]
68        A potential NULL pointer deference in the DNS64 code could cause
69        named to terminate unexpectedly. [RT #20256]
70        A state variable relating to DNSSEC could fail to be set during
71        some infrequently-executed code paths, allowing it to be used
72        whilst in an unitialized state during cache updates, with
73        unpredictable results. [RT #20256]
74        A potential NULL pointer deference in DNSSEC signing code could
75        cause named to terminate unexpectedly [RT #20256]
76        Several cosmetic code changes were made to silence warnings
77        generated by a static code analysis tool. [RT #20256]
78      * When using _builtin in named.conf, named.conf changes were not
79        found when reloading the config file. Now checks _builtin zone
80        arguments to see if the zone is re-usable or not. [RT #21914]
81      * After an external code review, a code cleanup was done. [RT #22521]
82      * When signing records, named didn't filter out any TTL changes to
83        DNSKEY records. This resulted in an incomplete key set. TTL changes
84        are now dealt with before signing. [RT #22590]
85      * The IN6_IS_ADDR_LINKLOCAL and IN6_IS_ADDR_SITELOCAL macros in win32
86        were updated/corrected per current Windows OS. [RT #22724]
87      * Cause named to terminate at startup or rndc reconfig reload to
88        fail, if a log file specified in the conf file isn't a plain file.
89        (RT #22771]
90      * named now forces the ADB cache time for glue related data to zero
91        instead of relying on TTL. This corrects problematic behavior in
92        cases where a server was authoritative for the A record of a
93        nameserver for a delegated zone and was queried to recursively
94        resolve records within that zone. [RT #22842]
95      * Fix the zonechecks system test to fail on error (warning in 9.6,
96        fatal in 9.7) to match behaviour for 9.4. [RT #22905]
97      * The "rndc" command usage statement was missing the "-b" option. [RT
98        #22937]
99      * Fixed a possible deadlock due to zone re-signing. [RT #22964]
100      * Fixed precedence order bug with NS and DNAME records if both are
101        present. (Also fixed timing of autosign test in 9.7+) [RT #23035]
102      * The secure zone update feature in named is based on the zone being
103        signed and configured for dynamic updates. A bug in the ACL
104        processing for "allow-update { none; };" resulted in a zone that is
105        supposed to be static being treated as a dynamic zone. Thus, named
106        would try to sign/re-sign that zone erroneously. [RT #23120]
107      * A new test has been added to check the apex NSEC3 records after
108        DNSKEY records have been added via dynamic update. [RT #23229]
109      * If a slave initiates a TSIG signed AXFR from the master and the
110        master fails to correctly TSIG sign the final message, the slave
111        would be left with the zone in an unclean state. named detected
112        this error too late and named would crash with an INSIST. The order
113        dependancy has been fixed. [RT #23254]
114      * If the server has an IPv6 address but does not have IPv6
115        connectivity to the internet, dig +trace could fail attempting to
116        use IPv6 addresses. [RT #23297]
117      * Changing TTL did not cause dnssec-signzone to generate new
118        signatures. [RT #23330]
119      * Have the validating resolver use RRSIG original TTL to compute
120        validated RRset and RRSIG TTL. [RT #23332]
121      * In "make test" bin/tests/resolver, hold the socket manager lock
122        while freeing the socket. [RT #23333]
123      * If named encountered a CNAME instead of a DS record when walking
124        the chain of trust down from the trust anchor, it incorrectly
125        stopped validating. [RT #23338]
126      * RRSIG records could have time stamps too far in the future. [RT
127        #23356]
128      * named stores cached data in an in-memory database and keeps track
129        of how recently the data is used with a heap. The heap is stored
130        within the cache's memory space. Under a sustained high query load
131        and with a small cache size, this could lead to the heap exhausting
132        the cache space. This would result in cache misses and SERVFAILs,
133        with named never releasing the cache memory the heap used up and
134        never recovering. This fix removes the heap into its own memory
135        space, preventing the heap from exhausting the cache space and
136        allowing named to recover gracefully when the high query load
137        abates. [RT #23371]
138      * If running on a powerpc CPU and with atomic operations enabled,
139        named could lock up. Added sync instructions to the end of atomic
140        operations. [RT #23469]
141      * If OpenSSL was built without engine support, named would have
142        compile errors and fail to build. [RT #23473]
143      * Handle isc_event_allocate failures in t_tasks test. [RT #23572]
144      * ixfr-from-differences {master|slave}; failed to select the
145        master/slave zones, resulting in on diff/journal file being
146        created. [RT #23580]
147      * If a DNAME substitution failed, named returned NOERROR. The correct
148        response should be YXDOMAIN. [RT #23591]
149      * Remove bin/tests/system/logfileconfig/ns1/named.conf and add
150        setup.sh in order to resolve changing named.conf issue. [RT #23687]
151      * NOTIFY messages were not being sent when generating a NSEC3 chain
152        incrementally. [RT #23702]
153      * Signatures for records at the zone apex could go stale due to an
154        incorrect timer setting. [RT #23769]
155      * The autosign tests attempted to open ports within reserved ranges.
156        Test now avoids those ports. [RT #23957]
157      * named, acting as authoritative server for DLZ zones, was not
158        correctly setting the authoritative (AA) bit. [RT #24146]
159      * Clean up some cross-compiling issues and added two undocumented
160        configure options, --with-gost and --with-rlimtype, to allow
161        over-riding default settings (gost=no and rlimtype="long int") when
162        cross-compiling. [RT #24367]
163      * When trying sign with NSEC3, if dnssec-signzone couldn't find the
164        KSK, it would give an incorrect error "NSEC3 iterations too big for
165        weakest DNSKEY strength" rather than the correct "failed to find
166        keys at the zone apex: not found" [RT #24369]
167      * nsupdate could dump core on shutdown when using SIG(0) keys. [RT
168        #24604]
169      * Named could fail to validate zones list in a DLV that validated
170        insecure without using DLV and had DS records in the parent zone.
171        [RT #24631]
172      * A bug in FreeBSD kernels causes IPv6 UDP responses greater than
173        1280 bytes to not fragment as they should. Until there is a kernel
174        fix, named will work around this by setting IPV6_USE_MIN_MTU on a
175        per packet basis. [RT #24950]
176      * To avoid excessive startup time for configurations with large
177        numbers of zones, an environment variable, BIND9_ZONE_TASKS_HINTS,
178        may now be set prior to starting named. Divide your number of zones
179        by 200 to find the recommended setting for this environment
180        variable (i.e., if you have 200000 zones, set
181        BIND9_ZONE_TASKS_HINTS to 1000 before starting named). [RT #25084]
182
183 Known issues in this release
184
185      * "make test" will fail on OSX and possibly other operating systems.
186        The failure occurs in a new test to check for allow-query ACLs. The
187        failure is caused because the source address is not specified on
188        the dig commands issued in the test.
189        If running "make test" is part of your usual acceptance process,
190        please edit the file bin/tests/system/allow_query/test.sh and add
191        -b 10.53.0.2
192        to the DIGOPTS line.
193
194 Thank You
195
196    Thank you to everyone who assisted us in making this release possible.
197    If you would like to contribute to ISC to assist us in continuing to
198    make quality open source software, please visit our donations page at
199    http://www.isc.org/supportisc.