У меня сервер на центос, настраивал по гуглу, плохо понимаю что то, на авось обновлять боюсь по гуглу так как настроено много, и если что слетит то будет оч плохо. Вопрос такой можно ли забить на эту проблему или как ее исправить? Или как обновить безопасно?
Пишет типа работать будет но есть уязвимость.
CentOS release 6.9 (Final)
version.bind. «9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.5
https://ednscomp.isc.org/ednscomp тест вот что выдает:
Warning: failure to address issues identified here may make
future DNS extensions that you want to use ineffective. In
particular echoing back unknown EDNS options and unknown
EDNS flags will break future signaling between DNS client
and DNS server. We already have examples of this where you
cannot depend on the AD flag bit meaning anything in
replies because too many DNS servers just echo it back.
Similarly the EDNS Client Subnet (ECS) option cannot just be
sent to everyone in part because of servers just echoing
it back.
EDNS - Unknown Version Handling (edns1)
dig +nocookie +norec +noad +edns=1 +noednsneg soa zone @server
expect: BADVERS
expect: OPT record with version set to 0
expect: not to see SOA
See RFC6891, 6.1.3. OPT Record TTL Field Use
EDNS - Unknown Version with Unknown Option Handling (edns1opt)
dig +nocookie +norec +noad +edns=1 +noednsneg +ednsopt=100 soa
zone @server
expect: BADVERS
expect: OPT record with version set to 0
expect: not to see SOA
expect: that the option will not be present in response
See RFC6891
Перевод:
Предупреждение: ошибки теста может означать, что некоторые
клиенты DNS не может разрешить зону или получаете
нежелательных ответа или резолюции будет медленнее,
чем необходимо.
Предупреждение: неспособность решить проблемы, указанные
здесь, может сделать будущие расширения DNS, которые вы хотите
использовать неэффективными. В частности, Эхо
назад неизвестные опции EDNS и неизвестные флаги EDNS
сломает будущую сигнализацию между DNS-клиентом и DNS-сервером.
У нас уже есть примеры этого, где вы не можете зависеть
от бита флага AD, означающего что-либо в ответах, потому что
слишком много DNS-серверов просто повторяют его.
Точно так же опция EDNS Client Subnet (ECS) не может быть просто
отправлена всем частично из-за того, что серверы просто
повторяют ее.
(ns01.freenom.com.): dns=ok edns=ok edns1=noerror,badversion,soa edns@512=ok ednsopt=ok edns1opt=noerror,badversion,soa do=ok ednsflags=ok docookie=ok edns512tcp=ok optlist=ok,nsid (aws2)
