Software-update: PowerDNS Recursor 4.0.4 / 3.7.4

PowerDNS is een dns-server met een database als back-end, waardoor het beheer van een groot aantal dns-entries op een gemakkelijke manier kan plaatsvinden. De ontwikkelaars hebben eerder besloten om de twee delen waaruit PowerDNS bestaat, een recursor en een authoritative nameserver, apart uit te geven. Waardoor men sneller en gerichter een nieuwe versie kan uitbrengen, aldus de ontwikkelaars.

Als je een dns-look-up uitvoert, zal een recursor in eerste instantie beginnen met het stellen van deze vraag aan een dns-rootserver. Deze kan dan doorverwijzen naar andere servers, vanaf waar weer doorverwezen kan worden naar andere servers, enzovoort, totdat uiteindelijk een server bereikt is die het antwoord weet of weet dat de look-up niet mogelijk is. Van dit laatste kan sprake zijn als de naam niet bestaat of de servers niet reageren. Het proces van het langslopen van verschillende authoritative servers heet recursie. De ontwikkelaars hebben PowerDNS Recursor 4.0.4 en 3.7.4 uitgebracht. De veranderingen van deze uitgaves zien er als volgt uit:

PowerDNS Recursor 4.0.4

The 4.0.4 version of the PowerDNS Recursor fixes PowerDNS Security Advisories 2016-02 and 2016-04.

Bug fixes

• commit 658d9e4: Check TSIG signature on IXFR (Security Advisory 2016-04)
• commit 91acd82: Don't parse spurious RRs in queries when we don't need them (Security Advisory 2016-02)
• commit 400e28d: Fix incorrect length check in DNSName when extracting qtype or qclass
• commit 2168188: rec: Wait until after daemonizing to start the RPZ and protobuf threads
• commit 3beb3b2: On (re-)priming, fetch the root NS records
• commit cfeb109: rec: Fix src/dest inversion in the protobuf message for TCP queries
• commit 46a6666: NSEC3 optout and Bogus insecure forward fixes
• commit bb437d4: On RPZ customPolicy, follow the resulting CNAME
• commit 6b5a8f3: DNSSEC: don't go bogus on zero configured DSs
• commit 1fa6e1b: Don't crash on an empty query ring
• commit bfb7e5d: Set the result to NoError before calling preresolve

Additions and Enhancements

• commit 7c3398a: Add max-recursion-depth to limit the number of internal recursion
• commit 3d59c6f: Fix building with ECDSA support disabled in libcrypto
• commit 0170a3b: Add requestorId and some comments to the protobuf definition file
• commit d8cd67b: Make the negcache forwarded zones aware
• commit 46ccbd6: Cache records for zones that were delegated to from a forwarded zone
• commit 5aa64e6, commit 5f4242e and commit 0f707cd: DNSSEC: Implement keysearch based on zone-cuts
• commit ddf6fa5: rec: Add support for boost::context >= 1.61
• commit bb6bd6e: Add getRecursorThreadId() to Lua, identifying the current thread
• commit d8baf17: Handle CNAMEs at the apex of secure zones to other secure zones

PowerDNS Recursor 3.7.4

This release fixes PowerDNS Security Advisory 2016-02.

Changes since 3.7.3:

• commit 8c82b5d: Don't parse spurious RRs in queries when we don't need them (Security Advisory 2016-02)
• commit 85243e0: Add some sanity checking to rec_control wipe-cache
• commit 3d11d9f: recursor: Require = in forward-zones (Aki Tuomi)
• commit 2b94bb4: recursor: when replacing an expired entry, move it to the back
• commit 0cca616: add lowercase-outgoing flag
• commit 24ef6ea: devpollmplexer is leaky (Josef 'Jeff' Sipek)
• commit d2d4926: EMFILE was (out of filedescriptors, too many open files) was reported as an error that could be blamed on the remote nameserver instead of on the OS, causing throttle actions.
• commit fd4871c: mprove filedescriptor requesting code
• commit 9a39e6d: devpollmplexer doesn't compile due to missing sigset_t (Josef 'Jeff' Sipek)
• commit 3b05796: Update root hints for h.root-servers.net
• commit ef49a7c: Port the 0x20 hashing to 3.7.3
• commit 7486add and commit d4a96ba: Update YaHTTP (Aki Tuomi)