= Сообщение: 7046 из 10763 ===================================== RU.UNIX.BSD = От : Konstantin Stefanov 2:5020/400 16 Apr 18 14:24:51 Кому : Eugene Grosbein 16 Apr 18 14:24:51 Тема : Re: какая версия bind сейчас лучшая из худших? FGHI : area://RU.UNIX.BSD?msgid=<1187509376@ddt.demos.su>+e3c8c210 На : area://RU.UNIX.BSD?msgid=grosbein.net+2d27ffa0 = Кодировка сообщения определена как: IBM866 ================================= ============================================================================== From: Konstantin Stefanov <cstef@mail.ru>
On 16.04.2018 18:42, Eugene Grosbein wrote: > 13 апр. 2018, пятница, в 09:02 NOVT, Konstantin Stefanov написал(а): > > >> Ставь 9.12, если нет личных причин ставить что-то старее. > KS> Мне с 9.12 пришлось откатиться на 9.11: он выдавал servfail при попытке > KS> рекурсивно запросить A, который ведет через CNAME. Вроде бы сейчас это > KS> уже поправили, но я пока еще подожду. > > В 9.11 вижу: > > # cd /usr/ports/dns/bind911 && make extract > # fgrep -A 10 'Bug Fixes' work/bind-9.11.3/doc/arm/notes.html > <a name="relnotes_bugs"></a>Bug Fixes</h3></div></div></div> > <div class="itemizedlist"><ul class="itemizedlist" style="list-style-type: > disc; "> > <li class="listitem"> > <p> > Attempting to validate improperly unsigned CNAME responses > from secure zones could cause a validator loop. This caused > a delay in returning SERVFAIL and also increased the chances > of encountering the crash bug described in CVE-2017-3145. > [RT #46839] > </p> > </li> Баг тот, но на 9.12 он проявлялся и для обычных зон, не обязательно secure. А откат на 9.11 мне лично помог.
Вот его обсуждение в рассылке ISC, во второй нитке как раз и написано, что он задевает и обычные зоны.
-- Константин Стефанов
Безрукий сторож зоопарка Фёдор продолжает верить в то, что крокодилам нравится, когда им чешут носик. --- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400)
