BIND

（BIN）（伯克利互联网名称域）是一种命令行UNIX软件，它分发域名系统（DNS）协议的开源实现。它由一个解析器库，一个名为`named'的服务器/守护进程以及用于测试和验证DNS服务器正确运行的软件工具组成。

最初是在加州大学伯克利分校进行的，BIND由太阳微系统，HP，康柏，IBM，Silicon Graphics，Network Associates，美国国防信息系统局，USENIX协会，Process Software Corporation，Nominum，和Stichting NLNet＆ndash; NLNet Foundation。

包括什么？
如前所述，BIND包括域名系统服务器，域名系统解析器库和用于测试服务器的软件工具。虽然DNS服务器实施负责通过使用官方DNS协议标准中规定的规则来回答所有收到的问题，但DNS解析器库解决了有关域名的问题。

支持的操作系统
BIND是专门为GNU / Linux平台设计的，它可以与Debian，Ubuntu，Arch Linux，Fedora，CentOS，Red Hat Enterprise Linux，Slackware，Gentoo，openSUSE，Mageia，和其他许多人。它支持32位和64位指令集体系结构。

该项目是作为一个单一的通用tarball分发的，包括BIND的源代码，允许用户针对他们的硬件平台和操作系统优化软件（参见上面的支持的操作系统和体系结构）。

如果重定向名称空间是从本地权威数据源（如本地区域或DLZ）提供的，而不是通过递归查找，那么nxdomain-redirect功能中的编码错误可能会导致断言失败。此漏洞披露于CVE-2016-9778。 [RT＃43837]

命名可能会错误地处理缺少RRSIG触发断言失败的权威部分。此漏洞披露于CVE-2016-9444。 [RT＃43632]

错误地处理了一些覆盖RRSIG记录而没有请求的数据导致断言失败的响应。此漏洞披露于CVE-2016-9147。 [RT＃43548]

命名错误地尝试缓存TKEY记录，这可能会导致在类不匹配时触发断言失败。此漏洞披露于CVE-2016-9131。 [RT＃43522]

处理响应时可能会触发断言。此漏洞披露于CVE-2016-8864。 [RT＃43465]

在9.11.2版本中，新功能：

如果重定向名称空间是从本地权威数据源（如本地区域或DLZ）提供的，而不是通过递归查找，那么nxdomain-redirect功能中的编码错误可能会导致断言失败。此漏洞披露于CVE-2016-9778。 [RT＃43837]

命名可能会错误地处理缺少RRSIG触发断言失败的权威部分。此漏洞披露于CVE-2016-9444。 [RT＃43632]

错误地处理了一些覆盖RRSIG记录而没有请求的数据导致断言失败的响应。此漏洞披露于CVE-2016-9147。 [RT＃43548]

命名错误地尝试缓存TKEY记录，这可能会导致在类不匹配时触发断言失败。此漏洞披露于CVE-2016-9131。 [RT＃43522]

处理响应时可能会触发断言。此漏洞披露于CVE-2016-8864。 [RT＃43465]

在9.11.1-P3版本中，新功能：

如果重定向名称空间是从本地权威数据源（如本地区域或DLZ）提供的，而不是通过递归查找，那么nxdomain-redirect功能中的编码错误可能会导致断言失败。此漏洞披露于CVE-2016-9778。 [RT＃43837]

命名可能会错误地处理缺少RRSIG触发断言失败的权威部分。此漏洞披露于CVE-2016-9444。 [RT＃43632]

错误地处理了一些覆盖RRSIG记录而没有请求的数据导致断言失败的响应。此漏洞披露于CVE-2016-9147。 [RT＃43548]

命名错误地尝试缓存TKEY记录，这可能会导致在类不匹配时触发断言失败。此漏洞披露于CVE-2016-9131。 [RT＃43522]

处理响应时可能会触发断言。此漏洞披露于CVE-2016-8864。 [RT＃43465]

版本9.11.1-P1中新增功能：

如果重定向名称空间是从本地权威数据源（如本地区域或DLZ）提供的，而不是通过递归查找，那么nxdomain-redirect功能中的编码错误可能会导致断言失败。此漏洞披露于CVE-2016-9778。 [RT＃43837]

命名可能会错误地处理缺少RRSIG触发断言失败的权威部分。此漏洞披露于CVE-2016-9444。 [RT＃43632]

错误地处理了一些覆盖RRSIG记录而没有请求的数据导致断言失败的响应。此漏洞披露于CVE-2016-9147。 [RT＃43548]

命名错误地尝试缓存TKEY记录，这可能会导致在类不匹配时触发断言失败。此漏洞披露于CVE-2016-9131。 [RT＃43522]

处理响应时可能会触发断言。此漏洞披露于CVE-2016-8864。 [RT＃43465]

9.11.1版本中新增功能：

如果重定向名称空间是从本地权威数据源（如本地区域或DLZ）提供的，而不是通过递归查找，那么nxdomain-redirect功能中的编码错误可能会导致断言失败。此漏洞披露于CVE-2016-9778。 [RT＃43837]

命名可能会错误地处理缺少RRSIG触发断言失败的权威部分。此漏洞披露于CVE-2016-9444。 [RT＃43632]

错误地处理了一些覆盖RRSIG记录而没有请求的数据导致断言失败的响应。此漏洞披露于CVE-2016-9147。 [RT＃43548]

命名错误地尝试缓存TKEY记录，这可能会导致在类不匹配时触发断言失败。此漏洞披露于CVE-2016-9131。 [RT＃43522]

处理响应时可能会触发断言。此漏洞披露于CVE-2016-8864。 [RT＃43465]

在9.11.0-P2版本中，新功能：

• 如果重定向名称空间是从本地权威数据源（如本地区域或DLZ）提供的，而不是通过递归查找，那么nxdomain-redirect功能中的编码错误可能会导致断言失败。此漏洞披露于CVE-2016-9778。 [RT＃43837]
• 命名可能会错误地处理缺少RRSIG触发断言失败的权威部分。此漏洞披露于CVE-2016-9444。 [RT＃43632]
• 错误地处理了一些覆盖RRSIG记录而没有请求的数据导致断言失败的响应。此漏洞披露于CVE-2016-9147。 [RT＃43548]
• 命名错误地尝试缓存TKEY记录，这可能会导致在类不匹配时触发断言失败。此漏洞披露于CVE-2016-9131。 [RT＃43522]
• 处理响应时可能会触发断言。此漏洞披露于CVE-2016-8864。 [RT＃43465]

在版本9.11.0-P1中

新增功能：

• 安全性修正：
• OPENPGPKEY rdatatype中不正确的边界检查可能会触发断言失败。此漏洞披露于CVE-2015-5986。 [RT＃40286]
• 解析某些格式错误的DNSSEC密钥时，缓冲区记帐错误可能会触发断言失败。此漏洞由Fuzzing Project的Hanno Bock发现，并在CVE-2015-5722中进行了披露。 [RT＃40212]
• 特制的查询可能触发message.c中的断言失败。此漏洞由Jonathan Foote发现，并在CVE-2015-5477中进行了披露。 [RT＃40046]
• 在配置为执行DNSSEC验证的服务器上，可能会从专门配置的服务器的答复上触发断言失败。此漏洞是由Breno Silveira Soares发现的，并在CVE-2015-4620中进行了披露。 [RT＃39795]
• 新功能：
• 添加了新的配额，以限制递归解析器发送给发生拒绝服务攻击的授权服务器的查询。配置时，这些选项既可以减少对权威服务器的危害，也可以避免递归时可能经历的资源耗尽，因为这些资源被用作这种攻击的载体。注：这些选项默认情况下不可用;使用configure --enable-fetchlimit将它们包含在构建中。 +每台服务器提取限制可以发送到任何一台授权服务器的同步查询的数量。配置的值是一个起点;如果服务器部分或完全不响应，它会自动向下调整。用于调整配额的算法可以通过fetch-quota-params选项进行配置。每区域提取限制可以在单个域内为名称发送的同时查询的数量。 （注意：与“每个服务器抓取”不同，此值不是自我调整）。统计信息计数器也被添加以跟踪受这些配额影响的查询数量。
• 现在可以使用dig + ednsflags在DNS请求中设置尚未定义的EDNS标志。
• 现在可以使用dig + [no] ednsnegotiation启用/禁用EDNS版本协商。
• --enable-querytrace配置开关现在可以启用非常详细的查询tracelogging。该选项只能在编译时设置。此选项具有负面的性能影响，应仅用于调试。
• 功能变更：

大的内联签名更改应该不那么具有破坏性。签名生成现在是逐步完成的;在每个量子中要生成的签名的数量由“签名 - 签名号码”来控制。 [RT＃37927]
• 实验性SIT扩展现在使用EDNS COOKIE选项代码点（10）并显示为“COOKIE：”。现有的named.conf指令; “请求坐标”，“坐下密码”和“nosit-udp-size”在BIND 9.11中仍然有效，将被“send-cookie”，“cookie-secret”和“nocookie-udp-size” 。现有的dig指令“+ sit”仍然有效，将在BIND 9.11中用“+ cookie”代替。
• 由于第一个答案被截断，通过TCP重试查询时，dig现在会正确发送前一个响应中服务器返回的COOKIE值。 [RT＃39047]
• 现在支持在Linux上从net.ipv4.ip_local_port_range检索本地端口范围。
• 表单gc._msdcs的Active Directory名称。现在在使用检查名称选项时被接受为有效主机名。仍然限于字母，数字和连字符。
• 如RFC 6763中所述，包含富文本的名称现在被接受为DNS-SD反向查找区域中PTR记录中的有效主机名。[RT＃37889]
• 错误修正：
• 当区域负载已在进行中时，异步区域负载未正确处理;这可能会引发zt.c中的崩溃。 [RT＃37573]
• 关机或重新配置期间的竞争可能导致mem.c中的断言失败。 [RT＃38979]
• 有些答案格式选项在dig + short时无法正常工作。 [RT＃39291]
• 当加载文本区域文件时，某些类型的格式错误的记录（包括NSAP和UNSPEC）可能会触发断言失败。 [RT＃40274] [RT＃40285]
• 解决了由于NOTIFY消息从错误的速率限制器队列中删除而导致ratelimiter.c可能发生崩溃的问题。 [RT＃40350]
• 随机的默认rrset顺序不一致。 [RT＃40456]
• 来自破碎的权威名称服务器的BADVERS响应没有正确处理。 [RT＃40427]
<>在RPZ实施中已经修复了一些错误：+不特别需要递归的策略区域可以被视为如同它们那样对待;因此，设置qname-wait-recurse no;有时是无效的。这已被纠正。在大多数配置中，由于此修复而导致的行为更改不会引人注意。 [RT＃39229] +如果策略区域已更新（例如，通过rndc重新加载或传入区域传输），则服务器可能会崩溃，而对于活动查询，RPZ处理仍在进行中。 [RT＃39415] +在将一个或多个策略区域配置为从服务器的服务器上，如果在正常操作期间（而不是在启动时）使用完整区域重新加载（例如通过AXFR）更新了策略区域，则可能允许RPZ摘要数据不同步，当对区域进行更多的增量更新时（例如通过IXFR），可能导致rpz.c中的断言失败。 [RT＃39567] +服务器可以匹配比CLIENT-IP策略触发器中可用的更短的前缀，因此可以采取意外的措施。这已被纠正。 [RT＃39481] +如果一个RPZ区域的重新加载被启动，而同一区域的另一个重新加载已经在进行，服务器可能会崩溃。

[RT＃39649] +如果通配符记录存在，则查询名称可能与错误的策略域匹配。 [RT＃40357]

9.11.0版本中的新功能：

• 安全性修正：
• OPENPGPKEY rdatatype中不正确的边界检查可能会触发断言失败。此漏洞披露于CVE-2015-5986。 [RT＃40286]
• 解析某些格式错误的DNSSEC密钥时，缓冲区记帐错误可能会触发断言失败。此漏洞由Fuzzing Project的Hanno Bock发现，并在CVE-2015-5722中进行了披露。 [RT＃40212]
• 特制的查询可能触发message.c中的断言失败。此漏洞由Jonathan Foote发现，并在CVE-2015-5477中进行了披露。 [RT＃40046]
• 在配置为执行DNSSEC验证的服务器上，可能会从专门配置的服务器的答复上触发断言失败。此漏洞是由Breno Silveira Soares发现的，并在CVE-2015-4620中进行了披露。 [RT＃39795]
• 新功能：
• 添加了新的配额，以限制递归解析器发送给发生拒绝服务攻击的授权服务器的查询。配置时，这些选项既可以减少对权威服务器的危害，也可以避免递归时可能经历的资源耗尽，因为这些资源被用作这种攻击的载体。注：这些选项默认情况下不可用;使用configure --enable-fetchlimit将它们包含在构建中。 +每台服务器提取限制可以发送到任何一台授权服务器的同步查询的数量。配置的值是一个起点;如果服务器部分或完全不响应，它会自动向下调整。用于调整配额的算法可以通过fetch-quota-params选项进行配置。每区域提取限制可以在单个域内为名称发送的同时查询的数量。 （注意：与“每个服务器抓取”不同，此值不是自我调整）。统计信息计数器也被添加以跟踪受这些配额影响的查询数量。
• 现在可以使用dig + ednsflags在DNS请求中设置尚未定义的EDNS标志。
• 现在可以使用dig + [no] ednsnegotiation启用/禁用EDNS版本协商。
• --enable-querytrace配置开关现在可以启用非常详细的查询tracelogging。该选项只能在编译时设置。此选项具有负面的性能影响，应仅用于调试。
• 功能变更：

大的内联签名更改应该不那么具有破坏性。签名生成现在是逐步完成的;在每个量子中要生成的签名的数量由“签名 - 签名号码”来控制。 [RT＃37927]
• 实验性SIT扩展现在使用EDNS COOKIE选项代码点（10）并显示为“COOKIE：”。现有的named.conf指令; “请求坐标”，“坐下密码”和“nosit-udp-size”在BIND 9.11中仍然有效，将被“send-cookie”，“cookie-secret”和“nocookie-udp-size” 。现有的dig指令“+ sit”仍然有效，将在BIND 9.11中用“+ cookie”代替。
• 由于第一个答案被截断，通过TCP重试查询时，dig现在会正确发送前一个响应中服务器返回的COOKIE值。 [RT＃39047]
• 现在支持在Linux上从net.ipv4.ip_local_port_range检索本地端口范围。
• 表单gc._msdcs的Active Directory名称。现在在使用检查名称选项时被接受为有效主机名。仍然限于字母，数字和连字符。
• 如RFC 6763中所述，包含富文本的名称现在被接受为DNS-SD反向查找区域中PTR记录中的有效主机名。[RT＃37889]
• 错误修正：
• 当区域负载已在进行中时，异步区域负载未正确处理;这可能会引发zt.c中的崩溃。 [RT＃37573]
• 关机或重新配置期间的竞争可能导致mem.c中的断言失败。 [RT＃38979]
• 有些答案格式选项在dig + short时无法正常工作。 [RT＃39291]
• 当加载文本区域文件时，某些类型的格式错误的记录（包括NSAP和UNSPEC）可能会触发断言失败。 [RT＃40274] [RT＃40285]
• 解决了由于NOTIFY消息从错误的速率限制器队列中删除而导致ratelimiter.c可能发生崩溃的问题。 [RT＃40350]
• 随机的默认rrset顺序不一致。 [RT＃40456]
• 来自破碎的权威名称服务器的BADVERS响应没有正确处理。 [RT＃40427]
<>在RPZ实施中已经修复了一些错误：+不特别需要递归的策略区域可以被视为如同它们那样对待;因此，设置qname-wait-recurse no;有时是无效的。这已被纠正。在大多数配置中，由于此修复而导致的行为更改不会引人注意。 [RT＃39229] +如果策略区域已更新（例如，通过rndc重新加载或传入区域传输），则服务器可能会崩溃，而对于活动查询，RPZ处理仍在进行中。 [RT＃39415] +在将一个或多个策略区域配置为从服务器的服务器上，如果在正常操作期间（而不是在启动时）使用完整区域重新加载（例如通过AXFR）更新了策略区域，则可能允许RPZ摘要数据不同步，当对区域进行更多的增量更新时（例如通过IXFR），可能导致rpz.c中的断言失败。 [RT＃39567] +服务器可以匹配比CLIENT-IP策略触发器中可用的更短的前缀，因此可以采取意外的措施。这已被纠正。 [RT＃39481] +如果一个RPZ区域的重新加载被启动，而同一区域的另一个重新加载已经在进行，服务器可能会崩溃。

[RT＃39649] +如果通配符记录存在，则查询名称可能与错误的策略域匹配。 [RT＃40357]

在9.10.4-P3版本中

新增功能：

• 安全性修正：
• OPENPGPKEY rdatatype中不正确的边界检查可能会触发断言失败。此漏洞披露于CVE-2015-5986。 [RT＃40286]
• 解析某些格式错误的DNSSEC密钥时，缓冲区记帐错误可能会触发断言失败。此漏洞由Fuzzing Project的Hanno Bock发现，并在CVE-2015-5722中进行了披露。 [RT＃40212]
• 特制的查询可能触发message.c中的断言失败。此漏洞由Jonathan Foote发现，并在CVE-2015-5477中进行了披露。 [RT＃40046]
• 在配置为执行DNSSEC验证的服务器上，可能会从专门配置的服务器的答复上触发断言失败。此漏洞是由Breno Silveira Soares发现的，并在CVE-2015-4620中进行了披露。 [RT＃39795]
• 新功能：
• 添加了新的配额，以限制递归解析器发送给发生拒绝服务攻击的授权服务器的查询。配置时，这些选项既可以减少对权威服务器的危害，也可以避免递归时可能经历的资源耗尽，因为这些资源被用作这种攻击的载体。注：这些选项默认情况下不可用;使用configure --enable-fetchlimit将它们包含在构建中。 +每台服务器提取限制可以发送到任何一台授权服务器的同步查询的数量。配置的值是一个起点;如果服务器部分或完全不响应，它会自动向下调整。用于调整配额的算法可以通过fetch-quota-params选项进行配置。每区域提取限制可以在单个域内为名称发送的同时查询的数量。 （注意：与“每个服务器抓取”不同，此值不是自我调整）。统计信息计数器也被添加以跟踪受这些配额影响的查询数量。
• 现在可以使用dig + ednsflags在DNS请求中设置尚未定义的EDNS标志。
• 现在可以使用dig + [no] ednsnegotiation启用/禁用EDNS版本协商。
• --enable-querytrace配置开关现在可以启用非常详细的查询tracelogging。该选项只能在编译时设置。此选项具有负面的性能影响，应仅用于调试。
• 功能变更：

大的内联签名更改应该不那么具有破坏性。签名生成现在是逐步完成的;在每个量子中要生成的签名的数量由“签名 - 签名号码”来控制。 [RT＃37927]
• 实验性SIT扩展现在使用EDNS COOKIE选项代码点（10）并显示为“COOKIE：”。现有的named.conf指令; “请求坐标”，“坐下密码”和“nosit-udp-size”在BIND 9.11中仍然有效，将被“send-cookie”，“cookie-secret”和“nocookie-udp-size” 。现有的dig指令“+ sit”仍然有效，将在BIND 9.11中用“+ cookie”代替。
• 由于第一个答案被截断，通过TCP重试查询时，dig现在会正确发送前一个响应中服务器返回的COOKIE值。 [RT＃39047]
• 现在支持在Linux上从net.ipv4.ip_local_port_range检索本地端口范围。
• 表单gc._msdcs的Active Directory名称。现在在使用检查名称选项时被接受为有效主机名。仍然限于字母，数字和连字符。
• 如RFC 6763中所述，包含富文本的名称现在被接受为DNS-SD反向查找区域中PTR记录中的有效主机名。[RT＃37889]
• 错误修正：
• 当区域负载已在进行中时，异步区域负载未正确处理;这可能会引发zt.c中的崩溃。 [RT＃37573]
• 关机或重新配置期间的竞争可能导致mem.c中的断言失败。 [RT＃38979]
• 有些答案格式选项在dig + short时无法正常工作。 [RT＃39291]
• 当加载文本区域文件时，某些类型的格式错误的记录（包括NSAP和UNSPEC）可能会触发断言失败。 [RT＃40274] [RT＃40285]
• 解决了由于NOTIFY消息从错误的速率限制器队列中删除而导致ratelimiter.c可能发生崩溃的问题。 [RT＃40350]
• 随机的默认rrset顺序不一致。 [RT＃40456]
• 来自破碎的权威名称服务器的BADVERS响应没有正确处理。 [RT＃40427]
<>在RPZ实施中已经修复了一些错误：+不特别需要递归的策略区域可以被视为如同它们那样对待;因此，设置qname-wait-recurse no;有时是无效的。这已被纠正。在大多数配置中，由于此修复而导致的行为更改不会引人注意。 [RT＃39229] +如果策略区域已更新（例如，通过rndc重新加载或传入区域传输），则服务器可能会崩溃，而对于活动查询，RPZ处理仍在进行中。 [RT＃39415] +在将一个或多个策略区域配置为从服务器的服务器上，如果在正常操作期间（而不是在启动时）使用完整区域重新加载（例如通过AXFR）更新了策略区域，则可能允许RPZ摘要数据不同步，当对区域进行更多的增量更新时（例如通过IXFR），可能导致rpz.c中的断言失败。 [RT＃39567] +服务器可以匹配比CLIENT-IP策略触发器中可用的更短的前缀，因此可以采取意外的措施。这已被纠正。 [RT＃39481] +如果一个RPZ区域的重新加载被启动，而同一区域的另一个重新加载已经在进行，服务器可能会崩溃。[RT＃39649]如果通配符记录存在，则查询名称可能与错误的策略域匹配。 [RT＃40357]