]> git.ipfire.org Git - thirdparty/bind9.git/log
thirdparty/bind9.git
8 weeks agoMake deleg cleanuptests memory assertions 32-bit-safe
Michal Nowak [Wed, 20 May 2026 08:59:49 +0000 (08:59 +0000)] 
Make deleg cleanuptests memory assertions 32-bit-safe

Each address entry stored by dns_delegset_addaddr() is an
isc_netaddrlink_t, whose size depends on sizeof(void *) via the
ISC_LINK macro (24 bytes of address + two prev/next pointers): 40
bytes on 64-bit, 32 bytes on 32-bit. The hardcoded 4 MB / 8 MB
ranges only held on 64-bit, so dns_deleg_cleanuptests failed on
armv7l with isc_mem_inuse() returning ~3.2 MB.

Express the expected ranges in terms of sizeof(isc_netaddrlink_t)
so they scale with pointer width, and pull the 99999 entry count
out into a NENTRIES macro.

Assisted-by: Claude:claude-opus-4-7
8 weeks agoMerge tag 'v9.21.22'
Andoni Duarte [Wed, 20 May 2026 10:26:28 +0000 (10:26 +0000)] 
Merge tag 'v9.21.22'

8 weeks agofix: nil: Properly handle BN_num_bits() return value
Ondřej Surý [Tue, 19 May 2026 19:05:59 +0000 (21:05 +0200)] 
fix: nil: Properly handle BN_num_bits() return value

BN_num_bits() returns 0 on NULL input and a negative value on internal
error.  The error return value is now properly handled.

Merge branch 'ondrej/fix-BN_num_bits-return-value' into 'main'

See merge request isc-projects/bind9!12057

8 weeks agoProperly handle the return value of BN_num_bits()
Ondřej Surý [Tue, 19 May 2026 17:16:08 +0000 (19:16 +0200)] 
Properly handle the return value of BN_num_bits()

BN_num_bits() returns 0 when passed NULL and a negative value on
internal error.  The OpenSSL wrappers stored the result in a size_t,
so a 0 return falsely satisfied the bit-length check and a negative
return wrapped to a huge value.  Capture the int return, reject
non-positive values, then compare against the limit.

8 weeks agofix: usr: Reject RRSIG records covering meta-types
Ondřej Surý [Tue, 19 May 2026 13:00:39 +0000 (15:00 +0200)] 
fix: usr: Reject RRSIG records covering meta-types

A recursive resolver could accept and cache an RRSIG record whose
Type-Covered field names a meta-type (ANY, AXFR, IXFR, MAILA, MAILB),
even though no real RRset of those types ever exists. Such records
are now rejected by the DNS message parser.

Closes #6002

Merge branch '6002-reject-rrsig-covering-meta-types' into 'main'

See merge request isc-projects/bind9!12048

8 weeks agoReject malformed RRSIG records
Ondřej Surý [Mon, 18 May 2026 17:27:54 +0000 (19:27 +0200)] 
Reject malformed RRSIG records

A signature cannot cover a meta-type (NONE, ANY, AXFR, IXFR, MAILB,
MAILA, OPT, TSIG, TKEY); previously such records were cached by the
recursive resolver and collided with negative-cache entries on the
same owner name, corrupting the QP-trie cache.

Assisted-by: Claude:claude-opus-4-7
8 weeks agofix: dev: Don't remove corresponding RRSIG in the same loop
Matthijs Mekking [Tue, 19 May 2026 09:48:15 +0000 (09:48 +0000)] 
fix: dev: Don't remove corresponding RRSIG in the same loop

The `dns_db_deleterdataset()` removing the corresponding signature within the iterator is wrong, because it mutates an rdataset that is not the current one.  This has been fixed.

Merge branch 'matthijs-fix-evict-cname-other' into 'main'

See merge request isc-projects/bind9!12047

8 weeks agoDon't remove corresponding RRSIG in the same loop
Matthijs Mekking [Mon, 18 May 2026 15:41:32 +0000 (17:41 +0200)] 
Don't remove corresponding RRSIG in the same loop

The dns_db_deleterdataset() removing the corresponding signature
within the iterator is wrong, because it mutates an rdataset
that is not the current one.

8 weeks agofix: usr: Fix TCP fallback after repeated UDP timeouts
Ondřej Surý [Tue, 19 May 2026 09:19:04 +0000 (11:19 +0200)] 
fix: usr: Fix TCP fallback after repeated UDP timeouts

When an authoritative server failed to respond to two consecutive
UDP queries in a fetch, named was supposed to retry the next attempt
over TCP but in fact still sent it over UDP.  The resolver now
properly switches the transport to TCP on the third attempt to
the same server.

Closes #5529

Merge branch '5529-fix-tcp-fallback-after-udp-timeouts' into 'main'

See merge request isc-projects/bind9!12022

8 weeks agoSkip EDNS UDP-size hint on TCP retries
Ondřej Surý [Sat, 16 May 2026 11:24:53 +0000 (13:24 +0200)] 
Skip EDNS UDP-size hint on TCP retries

The hint feeds the EDNS OPT UDP-size field, which has no effect on TCP
transport.  Avoid the dns_adb_getudpsize() lookup when the query is
already pinned to TCP.

Assisted-by: Claude:claude-opus-4-7
8 weeks agoRaise the per-server recursive-clients ceiling in fetchlimit
Ondřej Surý [Thu, 14 May 2026 16:18:27 +0000 (18:18 +0200)] 
Raise the per-server recursive-clients ceiling in fetchlimit

With the resolver now legitimately escalating to TCP after repeated
UDP timeouts to the same authoritative, each lame-server lookup
takes ~50% longer to fail.  The recursive-client backlog therefore
peaks a little higher before the fetches-per-server auto-tune drops
the quota below 200.

Bump the upper bound for the burst-against-lame-server and recovery
steps from 200 to 250 to absorb that extra latency.  The lower bound
and the final post-recovery target (clients <= 20) are unchanged.

Assisted-by: Claude:claude-opus-4-7
8 weeks agoAdd pytest serve_stale TCP-fallback regression tests
Ondřej Surý [Thu, 14 May 2026 15:10:19 +0000 (17:10 +0200)] 
Add pytest serve_stale TCP-fallback regression tests

The serve_stale shell suite uses a UDP-only perl mock as its
authoritative server.  Now that the resolver escalates to TCP after
repeated UDP timeouts, three steps in serve_stale/tests.sh that
exercise resolver-query-timeout behaviour no longer reach the
timeout — the TCP fallback short-circuits to SERVFAIL via
`connection refused` on the perl mock.

Move those scenarios to a new system test directory
`bin/tests/system/serve_stale_tcp/` that uses a
ControllableAsyncDnsServer mock listening on both UDP and TCP, so
the resolver's TCP path is exercised end-to-end and the original
timing semantics are preserved.  Remove the corresponding shell
steps from serve_stale/tests.sh.

Assisted-by: Claude:claude-opus-4-7
8 weeks agoAllow either UDP or TCP queries in flight in statistics test
Ondřej Surý [Thu, 14 May 2026 11:59:07 +0000 (13:59 +0200)] 
Allow either UDP or TCP queries in flight in statistics test

The "active sockets" and "queries in progress" assertions previously
required exactly one extra UDP/IPv4 socket and exactly one UDP query in
progress, with no TCP counterpart.  That shape held only because the
broken TCP-fallback path left the resolver retrying UDP indefinitely.

With the fix in place, after two UDP timeouts to the same authority the
resolver legitimately escalates to TCP, and a stats snapshot taken
during recursion may catch the in-flight query on either transport.
Count the UDP and TCP counters together so the test reflects the new
correct behaviour.

Assisted-by: Claude:claude-opus-4-7
8 weeks agoTighten serve_stale dig timeouts and inter-step sleeps
Ondřej Surý [Thu, 14 May 2026 11:58:59 +0000 (13:58 +0200)] 
Tighten serve_stale dig timeouts and inter-step sleeps

With the TCP fallback now actually firing after repeated UDP timeouts,
the resolver covers more retry transitions in the same wall-clock
window, and the original 3-second budgets in two steps of the
serve_stale test left no margin: the dig client at +timeout=3 and the
"sleep 3" before re-enabling the upstream both straddled the moment at
which the resolver switched transport, making the asserted outcome
race-prone.

Drop the dig timeout to 2s and the sleep to 1s so each step lands
firmly on one side of the transport switch.

Co-authored-by: Evan Hunt <each@isc.org>
Assisted-by: Claude:claude-opus-4-7
8 weeks agoEmit EDE 22 when the resolver runs out of usable addresses
Ondřej Surý [Thu, 14 May 2026 11:58:49 +0000 (13:58 +0200)] 
Emit EDE 22 when the resolver runs out of usable addresses

Two exits from fctx_try() landed at DNS_R_SERVFAIL without attaching
DNS_EDE_NOREACHABLEAUTH: when fctx_getaddresses() returned a non-success,
non-wait status, and when every candidate addrinfo was unusable
(over-quota or filtered) after a restart.

With the new TCP fallback actually firing, those paths are now reached
by serve-stale and similar scenarios in which the auth is unreachable.
Attach the EDE so SERVFAIL responses keep carrying the same operator
signal that the timeout-based exit paths already produce.

Co-authored-by: Evan Hunt <each@isc.org>
Assisted-by: Claude:claude-opus-4-7
8 weeks agoOpen the stale-refresh-time window on any resolver failure
Ondřej Surý [Thu, 14 May 2026 11:58:39 +0000 (13:58 +0200)] 
Open the stale-refresh-time window on any resolver failure

The TCP-fallback fix in the previous commits means a query that would
previously have timed out on UDP now actually escalates to TCP, and a
TCP-side failure surfaces a non-ISC_R_TIMEDOUT result code to
query_usestale().  The trigger for DNS_DBFIND_STALESTART was previously
narrowed to ISC_R_TIMEDOUT, so the stale-refresh-time window stopped
opening for those clients.

Broaden the condition to any failure that has already cleared the
upstream DUPLICATE/DROP filtering in query_usestale() — the spirit of
the window is "the resolver tried and could not get a fresh answer",
not "the resolver timed out specifically".

Co-authored-by: Evan Hunt <each@isc.org>
Assisted-by: Claude:claude-opus-4-7
8 weeks agoForce TCP after repeated UDP timeouts to the same authoritative
Ondřej Surý [Thu, 14 May 2026 09:19:42 +0000 (11:19 +0200)] 
Force TCP after repeated UDP timeouts to the same authoritative

Make the decision in fctx_query() before the dispatch is bound so the
chosen transport and the DNS_FETCHOPT_TCP flag agree.  The previous
location in resquery_send() ran after the UDP dispatch had already been
attached, so the flag flip had no effect on the wire.

Moving the decision earlier also means FCTX_ADDRINFO_NOEDNS0 servers,
previously exempt, now escalate to TCP too.  TCP works regardless of
EDNS state, so this is the intended behaviour.

Assisted-by: Claude:claude-opus-4-7
8 weeks agoTemporarily remove TCP fallback after UDP timeouts
Ondřej Surý [Thu, 14 May 2026 08:04:20 +0000 (10:04 +0200)] 
Temporarily remove TCP fallback after UDP timeouts

The retry path in resquery_send() that flipped DNS_FETCHOPT_TCP on a
query whose dispatch had already been bound as UDP in fctx_query() had
no effect on the transport actually used, but did leave a stale TCP
bit visible to downstream consumers (dnstap framing, cookie checks,
the AUTHORITY-NS spoofability guard).

The ineffective code has been removed from resquery_send().  The
TCP fallback functionality will be corrected and restored in the next
commit.

Assisted-by: Claude:claude-opus-4-7
2 months agochg: usr: named could crash on concurrent TKEY DELETE for the same key
Ondřej Surý [Mon, 18 May 2026 04:48:58 +0000 (06:48 +0200)] 
chg: usr: named could crash on concurrent TKEY DELETE for the same key

On a server configured with tkey-gssapi-keytab (or tkey-gssapi-credential),
an authenticated peer could crash named by sending two TKEY DELETE requests
for the same dynamic key in rapid succession.  This has been fixed.

Closes #6001

Merge branch '6001-tsig-tkey-delete-uaf' into 'main'

See merge request isc-projects/bind9!12041

2 months agoFix use-after-free in concurrent dns_tsigkey_delete()
Ondřej Surý [Sun, 17 May 2026 15:01:54 +0000 (17:01 +0200)] 
Fix use-after-free in concurrent dns_tsigkey_delete()

Two TSIG-authenticated TKEY DELETE queries for the same dynamic key,
arriving on different worker loops, could each enter
dns_tsigkey_delete() and cause over-decrementing the key refcount.

This has been fixed by making dns_tsigkey_delete() idempotent.

2 months agofix: usr: The resolver now removes other RRsets at the same name when caching a CNAME
Matthijs Mekking [Sun, 17 May 2026 09:56:20 +0000 (09:56 +0000)] 
fix: usr: The resolver now removes other RRsets at the same name when caching a CNAME

When an RRset is in stale cache, and the authoritative server changes the record type to CNAME, the resolver fails to refresh the stale cache. This has been fixed.

Closes #5302

Merge branch '5302-serve-stale-cname-to-a' into 'main'

See merge request isc-projects/bind9!11758

2 months agoWhen caching names, check for CNAME RRsets
Matthijs Mekking [Fri, 27 Mar 2026 09:48:21 +0000 (10:48 +0100)] 
When caching names, check for CNAME RRsets

CNAME and other record types cannot coexist. DNSSEC records are the
exceptions to this rule.

If the answer contains a name with a CNAME, remove existing RRsets at
the same name from the cache.

If the answer contains a name without a CNAME, remove the CNAME RRset
at the same name from the cache.

2 months agoAdd serve-stale test case for CNAME to A
Matthijs Mekking [Fri, 27 Mar 2026 09:32:48 +0000 (10:32 +0100)] 
Add serve-stale test case for CNAME to A

Add a serve-stale system test case where the authority changes a
CNAME RRset to A (at cname2.stale.test). The CNAME that is in the
cache is stale and should be refreshed. The target A record (at
a2.stale.test) has a longer TTL and is also still in the cache. The
next query should return the refreshed A RRset to the client.

Then the authority changes back the A RRset to CNAME. The A RRset
has become stale and should be refreshed. The next query should
return the refreshed CNAME RRset plus the already cached
a2.stale.test A record.

This test requires ns1 to allow dynamic updates to stale.test, and
prefetch to be disabled. The latter is to ensure the record is not
prefetched, but only refreshed when stale (and logs the expected
"an attempt to refresh the RRset" messages).

2 months agoRemove duplicate check in serve-stale test
Matthijs Mekking [Thu, 1 May 2025 09:43:21 +0000 (11:43 +0200)] 
Remove duplicate check in serve-stale test

2 months agofix: nil: More changes to PR-Agent CI job
Ondřej Surý [Sat, 16 May 2026 22:04:49 +0000 (00:04 +0200)] 
fix: nil: More changes to PR-Agent CI job

Merge branch 'ondrej/use-claude-opus-4-6' into 'main'

See merge request isc-projects/bind9!12037

2 months agoAdd both Claude 4.6 and ChatGPT in two separate job pipelines
Ondřej Surý [Sat, 16 May 2026 16:02:49 +0000 (18:02 +0200)] 
Add both Claude 4.6 and ChatGPT in two separate job pipelines

2 months agoAllow failure to not block pipelines for the PR-Agent CI job
Ondřej Surý [Sat, 16 May 2026 15:53:20 +0000 (17:53 +0200)] 
Allow failure to not block pipelines for the PR-Agent CI job

2 months agoChange the PR-Agent configuration to use Claude 4.6
Ondřej Surý [Sat, 16 May 2026 13:59:40 +0000 (15:59 +0200)] 
Change the PR-Agent configuration to use Claude 4.6

2 months agofix: nil: Properly use other_checks_jobs template for pr-agent CI job
Ondřej Surý [Sat, 16 May 2026 11:29:30 +0000 (13:29 +0200)] 
fix: nil: Properly use other_checks_jobs template for pr-agent CI job

Merge branch 'ondrej/pr-agent-other-check' into 'main'

See merge request isc-projects/bind9!12035

2 months agoProperly use other_checks_jobs template for pr-agent CI job
Ondřej Surý [Sat, 16 May 2026 11:22:45 +0000 (13:22 +0200)] 
Properly use other_checks_jobs template for pr-agent CI job

2 months agofix: dev: Run PR-Agent only when manually triggered
Ondřej Surý [Sat, 16 May 2026 10:50:19 +0000 (12:50 +0200)] 
fix: dev: Run PR-Agent only when manually triggered

Merge branch 'ondrej/run-pr-agent-only-manually' into 'main'

See merge request isc-projects/bind9!12033

2 months agoRun PR-Agent only when manually triggered
Ondřej Surý [Sat, 16 May 2026 10:41:10 +0000 (12:41 +0200)] 
Run PR-Agent only when manually triggered

2 months agonew: dev: Enable PR-Agent reviews on merge requests
Ondřej Surý [Sat, 16 May 2026 10:30:01 +0000 (12:30 +0200)] 
new: dev: Enable PR-Agent reviews on merge requests

Adds a CI job that runs PR-Agent against each merge request opened
from the canonical repository, posting an automated review and
code-improvement suggestions as MR comments. The job is gated to
same-project source branches so the OpenAI key and personal access
token are not exposed to fork pipelines.

Merge branch 'ondrej/add-pr-agent' into 'main'

See merge request isc-projects/bind9!12032

2 months agoAdd PR-Agent job to GitLab CI for merge-request review
Ondřej Surý [Sat, 16 May 2026 06:23:50 +0000 (08:23 +0200)] 
Add PR-Agent job to GitLab CI for merge-request review

Run PR-Agent's `review` and `improve` commands against each merge
request from the canonical repository, posting an automated review
and code-improvement suggestions as MR comments. The rule restricts
the job to MRs whose source project matches CI_PROJECT_PATH so the
OpenAI key and GitLab personal access token are never exposed to
fork pipelines.

2 months agochg: dev: Allow any valid DNS name as a TSIG/RNDC key name
Ondřej Surý [Fri, 15 May 2026 09:00:31 +0000 (11:00 +0200)] 
chg: dev: Allow any valid DNS name as a TSIG/RNDC key name

The key-generation tools (tsig-keygen, rndc-confgen) now accept any valid DNS name for key names.

Merge branch 'ondrej/allow-all-valid-keynames' into 'main'

See merge request isc-projects/bind9!12029

2 months agoAllow any valid DNS name as a key name
Ondřej Surý [Fri, 15 May 2026 08:08:46 +0000 (10:08 +0200)] 
Allow any valid DNS name as a key name

TSIG key names need to be any valid DNS name so that update-policy
"self" rules work with arbitrary names.  Replace the
alnum+'.'+'-'+'_' charset filter in the key-generation tools with a
dns_name_fromstring() validity check.

2 months agochg: dev: Use SipHash-1-3 for hash tables, keep SipHash-2-4 for cookies
Ondřej Surý [Fri, 15 May 2026 07:33:09 +0000 (09:33 +0200)] 
chg: dev: Use SipHash-1-3 for hash tables, keep SipHash-2-4 for cookies

SipHash-2-4 was designed as a conservative PRF/MAC with extra rounds
against future attacks.  For hash tables, where outputs are never
exposed, SipHash-1-3 provides sufficient collision resistance with
fewer rounds.  As the SipHash author noted: "I would be very surprised
if SipHash-1-3 introduced weaknesses for hash tables."

DNS cookies continue to use SipHash-2-4 since cookie values are sent
on the wire and must resist online attacks.

Merge branch 'ondrej/siphash-1-3' into 'main'

See merge request isc-projects/bind9!11787

2 months agoUse SipHash-1-3 for hash tables, keep SipHash-2-4 for cookies
Ondřej Surý [Thu, 2 Apr 2026 06:52:14 +0000 (08:52 +0200)] 
Use SipHash-1-3 for hash tables, keep SipHash-2-4 for cookies

SipHash-2-4 was designed as a conservative PRF/MAC with extra rounds
against future attacks.  For hash tables, where outputs are never
exposed, SipHash-1-3 provides sufficient collision resistance with
fewer rounds.  As the SipHash author noted: "I would be very surprised
if SipHash-1-3 introduced weaknesses for hash tables."

DNS cookies continue to use SipHash-2-4 since cookie values are sent
on the wire and must resist online attacks.

2 months agofix: test: Fix flaky reclimit test
Ondřej Surý [Fri, 15 May 2026 06:03:16 +0000 (08:03 +0200)] 
fix: test: Fix flaky reclimit test

The max-types-per-name cache eviction tests were flaky because two test steps were missing a sleep between queries, causing TTL-based cache verification to fail when both queries completed within the same second.

Merge branch 'ondrej/fix-flaky-reclimit' into 'main'

See merge request isc-projects/bind9!11782

2 months agoFix flaky reclimit test by adding missing sleep
Ondřej Surý [Wed, 1 Apr 2026 17:19:50 +0000 (19:19 +0200)] 
Fix flaky reclimit test by adding missing sleep

The cache verification in steps 11 and 15 checks that the TTL has
decreased from its initial value to confirm the response was served
from cache, but the sleep between the two queries was missing. Both
queries could complete within the same second, leaving the TTL
unchanged and causing the test to incorrectly conclude the entry was
not cached.

2 months agochg: dev: Skip in-domain nameservers that have no glue
Ondřej Surý [Fri, 15 May 2026 05:48:26 +0000 (07:48 +0200)] 
chg: dev: Skip in-domain nameservers that have no glue

A referral that names a nameserver inside the delegated zone but
provides no address for it leaves the resolver unable to reach that
server. named now logs "missing mandatory glue for <name>" at notice
level and skips the nameserver.

Merge branch 'ondrej/dont-store-missing-in-domain-glue-ns' into 'main'

See merge request isc-projects/bind9!11971

2 months agoDrop in-domain NS without glue from the delegation set
Ondřej Surý [Wed, 6 May 2026 10:37:03 +0000 (12:37 +0200)] 
Drop in-domain NS without glue from the delegation set

Pull the dns_message_findname() lookups into cache_delegglue() and
cache_delegglue6() so each helper now owns its glue lookup and returns
the number of addresses cached.  cache_delegns() splits referrals into
two cases: in-domain (the NS name is below the delegation point) and
sibling/in-bailiwick.

An in-domain NS without glue is unresolvable by definition - the
resolver would have to ask the very server it's trying to find.  Log
"missing mandatory glue" at notice level and skip the deleg entirely
rather than leaving an unusable entry in the set.  A new
dns_delegset_freedeleg() undoes a fresh dns_delegset_allocdeleg() so
the rest of the delegation set is preserved.

2 months agochg: usr: Fall back to TCP on a UDP response with a mismatched query id
Ondřej Surý [Fri, 15 May 2026 04:57:00 +0000 (06:57 +0200)] 
chg: usr: Fall back to TCP on a UDP response with a mismatched query id

BIND used to wait silently for the correct DNS message id on a UDP fetch
even after receiving a response from the expected server with the wrong
id, leaving room for off-path spoofing attempts to keep guessing within
that window.  The resolver now retries the fetch over TCP on the first
such response, and a new MismatchTCP statistics counter tracks how
often the fallback fires.

Closes #5449

Merge branch '5449-immediate-tcp-fallback-on-id-mismatch' into 'main'

See merge request isc-projects/bind9!12023

2 months agoSwitch UDP fetches to TCP on the first response with a wrong query id
Ondřej Surý [Thu, 14 May 2026 10:20:19 +0000 (12:20 +0200)] 
Switch UDP fetches to TCP on the first response with a wrong query id

Until now, the dispatcher silently dropped UDP responses from the
expected peer that carried the wrong DNS message id and kept listening
for the correct id to arrive within the read timeout.  An off-path
attacker who knows the destination address and source port of an
outgoing fetch could exploit that quiet retry window to flood the
resolver with guessed responses; with a gigabit link the per-query
success probability grows linearly with the number of guesses that
arrive before the legitimate answer or the timeout.

Treat any such mismatch as a possible spoofing attempt and let the
resolver immediately retry the same query over TCP, the same control
path the truncation handler already uses.

Add a resolver statistics counter - exposed as 'queries retried over TCP
after a response with mismatched query id' in rndc stats and
'MismatchTCP' in the statistics channel

Assisted-by: Claude:claude-opus-4-7
2 months agofix: dev: Fix data race during rndc dumpdb or zone load
Ondřej Surý [Thu, 14 May 2026 06:52:58 +0000 (08:52 +0200)] 
fix: dev: Fix data race during rndc dumpdb or zone load

'rndc dumpdb' against a server with zones, and async zone load,
had a timing window where the operation's completion could fire
before the server had finished registering the operation,
occasionally leading to a possible crash.  The completion is now
delivered after the registration is in place.

Closes #5952

Merge branch '5952-fix-masterdump-async-ctx-race' into 'main'

See merge request isc-projects/bind9!11991

2 months agoFix data race in async master dump/load context publication
Ondřej Surý [Fri, 8 May 2026 05:46:03 +0000 (07:46 +0200)] 
Fix data race in async master dump/load context publication

Bouncing the offload itself to the target loop let the after-work
callback fire on the target thread and run the user's done callback
before the calling thread had published *dctxp / *lctxp.  Enqueue on
the calling loop and bounce only the done callback instead, so the
publish is sequenced before the cross-thread hand-off by construction
and cannot be reintroduced by reordering the entry-point body.

2 months agofix: usr: Disable output escaping in bind9.xsl
Mark Andrews [Thu, 14 May 2026 02:06:41 +0000 (12:06 +1000)] 
fix: usr: Disable output escaping in bind9.xsl

The statistics charts where not displaying on some browsers.
This has been fixed.

Closes #5990

Merge branch '5990-disable-output-escaping-in-bind9-xsl' into 'main'

See merge request isc-projects/bind9!12018

2 months agoDisable output escaping in bind9.xsl
Mark Andrews [Thu, 14 May 2026 00:00:21 +0000 (10:00 +1000)] 
Disable output escaping in bind9.xsl

The statistics charts where not displaying on some browsers (e.g. Chrome)
due to '>' being escaped as '&gt;'.  Use disable-output-escaping="yes" to
turn this off.

2 months agofix: test: Fix cyclic glues (again)
Colin Vidal [Wed, 13 May 2026 20:31:32 +0000 (22:31 +0200)] 
fix: test: Fix cyclic glues (again)

Previous fix `ed90d578b3a98f45eb8bc09966e9c4ab870a156d` uses
`wait_for_line()` by mistake, and the test aims to wait for two log
lines to be printed before continuing.

In principle, `wait_for_all()` should do, but `running` should always be
printed first, so `wait_for_sequence()` seems to be the right fit here.

Merge branch 'colin/fix-cyclic-glues-again' into 'main'

See merge request isc-projects/bind9!12013

2 months agoFix cyclic glues (again)
Colin Vidal [Wed, 13 May 2026 13:20:35 +0000 (15:20 +0200)] 
Fix cyclic glues (again)

Previous fix `ed90d578b3a98f45eb8bc09966e9c4ab870a156d` uses
`wait_for_line()` by mistake as the test aims to wait for two log lines
to be printed before continuing (and not continuing as soon as one of
them is printed).

Instead, `wait_for_all()` is used since the order between the two
expected log line is not guaranteed.

2 months agofix: ci: Don't forward parent yaml variables to stress child pipelines
Michal Nowak [Wed, 13 May 2026 16:41:42 +0000 (18:41 +0200)] 
fix: ci: Don't forward parent yaml variables to stress child pipelines

The global RUNNER_SCRIPT_TIMEOUT: 55m in the parent pipeline was being
forwarded to the stress and tsan:stress child pipelines, where forwarded
yaml variables outrank job-level variables. That caused stress jobs with
BIND_STRESS_TESTS_RUN_TIME >= 60 to be killed at 55 minutes, regardless
of the per-job RUNNER_SCRIPT_TIMEOUT set in the generated child config.

Set forward:yaml_variables: false on both trigger jobs; the generated
configs already declare every variable they need.

Assisted-by: Claude:claude-opus-4-7
Merge branch 'mnowak/fix-stress-test-script-timeout' into 'main'

See merge request isc-projects/bind9!12012

2 months agoSelectively inherit yaml vars in stress trigger jobs
Michal Nowak [Wed, 13 May 2026 09:44:26 +0000 (11:44 +0200)] 
Selectively inherit yaml vars in stress trigger jobs

The parent's global RUNNER_SCRIPT_TIMEOUT: 55m was reaching the stress
and tsan:stress child pipelines via inherited yaml variables, where
inherited values outrank the child's job-level variables. That caused
stress jobs with BIND_STRESS_TESTS_RUN_TIME >= 60 to be killed at 55
minutes, regardless of the per-job RUNNER_SCRIPT_TIMEOUT set in the
generated child config.

Use inherit:variables with a positive list on both trigger jobs:
inherit only CI_REGISTRY_IMAGE so the parent's registry override
(needed for image pulls in the child) flows through, while keeping
RUNNER_SCRIPT_TIMEOUT (and other globals) out of the child pipeline's
variable scope. The per-job RUNNER_SCRIPT_TIMEOUT values set by the
generated child config now take effect.

Assisted-by: Claude:claude-opus-4-7
2 months agochg: ci: Set RUNNER_SCRIPT_TIMEOUTs
Michal Nowak [Tue, 12 May 2026 16:04:29 +0000 (18:04 +0200)] 
chg: ci: Set RUNNER_SCRIPT_TIMEOUTs

Merge branch 'mnowak/set-script-timeouts' into 'main'

See merge request isc-projects/bind9!11750

2 months agoGet some useful data out of respdiff even in case of a failure
Michal Nowak [Mon, 11 May 2026 17:20:23 +0000 (19:20 +0200)] 
Get some useful data out of respdiff even in case of a failure

Assisted-by: Claude:claude-opus-4-7
2 months agoPass -r option to respdiff.sh
Michal Nowak [Mon, 11 May 2026 17:19:53 +0000 (19:19 +0200)] 
Pass -r option to respdiff.sh

Tell respdiff.sh where to find the respdiff Python tools (msgdiff.py,
diffsum.py, ...) so the in-tree copy from bind9-qa is used.

Assisted-by: Claude:claude-opus-4-7
2 months agoSet RUNNER_SCRIPT_TIMEOUTs
Michal Nowak [Wed, 25 Mar 2026 12:31:49 +0000 (13:31 +0100)] 
Set RUNNER_SCRIPT_TIMEOUTs

Sometimes jobs can get stuck and be terminated by GitLab, leaving us
without artefacts that could contain useful information about why the
job got stuck.

Assisted-by: Claude:claude-opus-4-7
2 months agofix: test: Fix cyclic_glue system test
Colin Vidal [Tue, 12 May 2026 14:42:43 +0000 (16:42 +0200)] 
fix: test: Fix cyclic_glue system test

The cyclic_glue system test was waiting for `running` log after
an `rndc reload` command, but wasn't waiting for the log saying a
specific zone which changed has been reloaded `zone <zone>/IN: loaded`.

As a result, the test could randomly fails. This is now fixed.

Closes #5953

Merge branch '5953-fix-cyclic-glue-test' into 'main'

See merge request isc-projects/bind9!12003

2 months agoFix cyclic_glue system test
Colin Vidal [Tue, 12 May 2026 12:42:35 +0000 (14:42 +0200)] 
Fix cyclic_glue system test

The cyclic_glue system test was waiting for `running` log after
an `rndc reload` command, but wasn't waiting for the log saying a
specific zone which changed has been reloaded `zone <zone>/IN: loaded`.

As a result, the test could randomly fails. This is now fixed.

2 months agochg: usr: Cap glue records cached from a referral
Ondřej Surý [Tue, 12 May 2026 14:17:59 +0000 (16:17 +0200)] 
chg: usr: Cap glue records cached from a referral

named cached every glue record from a referral, retaining far more
than resolution will ever use.  The number of nameservers and
addresses kept per referral is now bounded in the delegation database.

Closes #5701

Merge branch '5701-limit-the-number-of-GLUE-records' into 'main'

See merge request isc-projects/bind9!11970

2 months agoCap glue records cached from a referral
Ondřej Surý [Wed, 6 May 2026 10:35:22 +0000 (12:35 +0200)] 
Cap glue records cached from a referral

The resolver populated the delegation database with every NS RR and
every glue address from a referral, with no aggregate bound.  Resolution
only ever uses the first max-delegation-servers NS owners and a handful
of addresses per NS, so anything beyond that is dead memory.

Stop the NS loop in cache_delegns() at view->max_delegation_servers and
cap each glue rdataset at DELEG_MAX_GLUES_PER_NS (20) addresses, so each
NS owner contributes at most 20 A and 20 AAAA glues.

2 months agonew: ci: Add Ubuntu 26.04 Resolute Raccoon
Michal Nowak [Mon, 11 May 2026 16:36:17 +0000 (18:36 +0200)] 
new: ci: Add Ubuntu 26.04 Resolute Raccoon

Merge branch 'mnowak/ubuntu-26.04-resolute-raccoon' into 'main'

See merge request isc-projects/bind9!11812

2 months agoDo not run Noble Numbat unit test job in MRs
Michal Nowak [Tue, 7 Apr 2026 15:57:45 +0000 (17:57 +0200)] 
Do not run Noble Numbat unit test job in MRs

2 months agoAdd Ubuntu 26.04 Resolute Raccoon
Michal Nowak [Tue, 7 Apr 2026 15:55:31 +0000 (17:55 +0200)] 
Add Ubuntu 26.04 Resolute Raccoon

2 months agochg: ci: Add commit link and diff to RPM build job logs
Michał Kępień [Mon, 11 May 2026 15:43:55 +0000 (17:43 +0200)] 
chg: ci: Add commit link and diff to RPM build job logs

The output of update_rpms.py is terse, making it difficult to verify its
actions.  Add a commit link and "git show" output to the log of every CI
job running the update_rpms.py script in "build" mode to facilitate
double-checking its actions.

Merge branch 'michal/add-commit-link-and-diff-to-rpm-build-job-logs' into 'main'

See merge request isc-projects/bind9!11828

2 months agoAdd commit link and diff to RPM build job logs
Michał Kępień [Mon, 11 May 2026 15:41:50 +0000 (17:41 +0200)] 
Add commit link and diff to RPM build job logs

The output of update_rpms.py is terse, making it difficult to verify its
actions.  Add a commit link and "git show" output to the log of every CI
job running the update_rpms.py script in "build" mode to facilitate
double-checking its actions.

2 months agofix: ci: Increase GIT_DEPTH for the "assign-milestones" job
Michał Kępień [Mon, 11 May 2026 14:23:16 +0000 (16:23 +0200)] 
fix: ci: Increase GIT_DEPTH for the "assign-milestones" job

Cloning tags with the default GIT_DEPTH of 1 prevents the milestone
assignment script from identifying any merge requests that are included
in a given release.  Fix by increasing GIT_DEPTH to an arbitrary value
that is high enough for practical purposes.

The GIT_DEPTH CI variable defaults to 1 for all jobs through the
top-level "variables" key.  Explicitly setting it to 1 in job
definitions is unnecessary and may cause confusion.  Remove these
redundant assignments.

Merge branch 'michal/fix-assign-milestones-job' into 'main'

See merge request isc-projects/bind9!11996

2 months agoRemove redundant "GIT_DEPTH: 1" assignments
Michał Kępień [Mon, 11 May 2026 14:07:47 +0000 (16:07 +0200)] 
Remove redundant "GIT_DEPTH: 1" assignments

The GIT_DEPTH CI variable defaults to 1 for all jobs through the
top-level "variables" key.  Explicitly setting it to 1 in job
definitions is unnecessary and may cause confusion.  Remove these
redundant assignments.

2 months agoIncrease GIT_DEPTH for the "assign-milestones" job
Michał Kępień [Mon, 11 May 2026 14:07:47 +0000 (16:07 +0200)] 
Increase GIT_DEPTH for the "assign-milestones" job

Cloning tags with the default GIT_DEPTH of 1 prevents the milestone
assignment script from identifying any merge requests that are included
in a given release.  Fix by increasing GIT_DEPTH to an arbitrary value
that is high enough for practical purposes.

2 months agonew: test: Add isctest.transfer.transfer_message() helper and convert tests
Michal Nowak [Mon, 11 May 2026 13:34:30 +0000 (15:34 +0200)] 
new: test: Add isctest.transfer.transfer_message() helper and convert tests

Add a new helper function, `isctest.transfer.transfer_message()`, to
`bin/tests/system/isctest/transfer.py` that generates the log message
produced by `xfrin_log()` in `lib/dns/xfrin.c` for an incoming zone
transfer:

    transfer of '<zone>/IN' from <source_ns>#<port>: <msg>

The explicit use of `port` matches current shell system usage.

Interface
---------
    transfer_message(zone, source_ns, msg, port=None)

-  zone      - zone name without class (e.g. "example.com")
-  source_ns - IP string, or None to wildcard the source address
-  msg       - the transfer-level message
              (e.g. "Transfer status: success")
-  port      - integer source port, or None to wildcard the port number

When both source_ns and port are concrete values a plain str is returned
and `wait_for_line()` treats it as a literal substring match.  Whenever
either is `None` a compiled `re.Pattern` is returned, with the unknown part
replaced by a constrained wildcard:

-  source_ns=None, port=None      -> from .*#[0-9]+:
-  source_ns=None, port=53        -> from .*#53:
-  source_ns="1.2.3.4", port=None -> from 1.2.3.4#[0-9]+:
-  source_ns="1.2.3.4", port=N   -> "from 1.2.3.4#N:"  (plain str)

The port wildcard is [0-9]+ (not .*) because a port is always numeric.

Convert all hard-coded transfer log patterns in the Python system tests
to use transfer_message().

Notable cases:
- `mirror_root_zone`: source_ns=None (live internet, any root server),
  port=53.
- `cipher_suites`: source_ns="10.53.0.1", port=None (each zone transfers
  over a different TLS port).
- `test_under_signed_transfer`: parametrize gains a boolean xfrin_msg
  flag to distinguish messages that go through xfrin_log() from
  lower-level TSIG errors that do not.

Testing
-------
All system tests pass under `pytest -n auto`. The `mirror_root_zone`
live-internet test was also verified separately with
`CI_ENABLE_LIVE_INTERNET_TESTS=1`.

LLM usage
---------
This commit was produced in an interactive session with Claude Code
(Claude Sonnet 4.6), guided step by step by a human reviewer.

Closes #5735

Merge branch '5735-make-transfer-message-formatter' into 'main'

See merge request isc-projects/bind9!11796

2 months agoAdd isctest.transfer.transfer_message() helper and convert tests
Michal Nowak [Mon, 11 May 2026 11:24:22 +0000 (13:24 +0200)] 
Add isctest.transfer.transfer_message() helper and convert tests

Add a new helper function, isctest.transfer.transfer_message(), to
bin/tests/system/isctest/transfer.py that generates the log message
produced by xfrin_log() in lib/dns/xfrin.c for an incoming zone
transfer:

    transfer of '<zone>/IN' from <source_ns>#<port>: <msg>

The helper always returns a compiled re.Pattern.  source_ns and port
each accept None to match any source address / port.  msg accepts
either a plain str (regex-escaped automatically) or a compiled
re.Pattern (spliced into the regex as-is), so callers that need regex
syntax in the message part can pass Re(r"...") without having to
wrap the whole result.

source_ns is passed through re.escape() when provided, so dots in
IPv4 addresses (e.g. "10.53.0.1") match a literal dot rather than
any character.

Convert the existing call sites across the system tests to use the
new helper.

Co-Authored-By: Nicki Křížek <nicki@isc.org>
Assisted-by: Claude:claude-sonnet-4-6
Assisted-by: Claude:claude-opus-4-7
2 months agochg: dev: Make dns_glue_t private to qpzone
Alessio Podda [Mon, 11 May 2026 12:52:17 +0000 (12:52 +0000)] 
chg: dev: Make dns_glue_t private to qpzone

The dns_glue struct currently contains four dns_rdataset structs to hold
the glue. These structs are over 100 bytes each because they need to be
able to hold data for multiple types of databases.

Since the dns_glue_t type is only used by qpzone, we can instead hold pointers
to the vecheaders directly, and only bind the vecheaders to the
rdatasets when adding the glue to the message.

This leads to a 33% memory reduction in some authoritative benchmarks.

Merge branch 'alessio/glue-ozempic' into 'main'

See merge request isc-projects/bind9!11801

2 months agoClean up comments
Alessio Podda [Mon, 11 May 2026 08:27:35 +0000 (10:27 +0200)] 
Clean up comments

A comment was still referencing the rdataset attribute, now it has been
fixed.

2 months agoAdd leak test
Alessio Podda [Wed, 8 Apr 2026 07:26:51 +0000 (09:26 +0200)] 
Add leak test

Add a test to ensure that the rdataset queried when adding glue is not
leaked.

2 months agoDelay binding glue to rdataset
Alessio Podda [Sat, 14 Feb 2026 21:20:41 +0000 (22:20 +0100)] 
Delay binding glue to rdataset

The dns_glue struct currently contains four dns_rdataset structs to hold
the glue. These structs are over 100 bytes each because they need to be
able to hold data for multiple types of databases.

Since the dns_glue_t type is only used by qpzone, we can instead hold
pointers to the vecheaders directly, and only bind the vecheaders to
the rdatasets when adding the glue to the message.

2 months agoMake dns_glue_t private to qpzone
Alessio Podda [Wed, 1 Apr 2026 10:13:08 +0000 (12:13 +0200)] 
Make dns_glue_t private to qpzone

The dns_glue_t, dns_gluelist_t and dns_glue_additionaldata_ctx types are
only used in qpzone.c. This commits moves them to the private header
qpzone_p.h.

This is done in preparation of a followup commit that will refactor them
to use types that are private to qpzone.

2 months agofix: ci: Fix triggering rules for the "publish-cleanup" job
Michał Kępień [Mon, 11 May 2026 08:09:09 +0000 (10:09 +0200)] 
fix: ci: Fix triggering rules for the "publish-cleanup" job

The "publish-cleanup" tag pipeline job is currently created for all
security releases, including BIND -S releases, but it depends on the
"publish" job, which is only created for open source releases.  This
breaks CI configuration for BIND -S tags, preventing pipelines from
getting created for such tags altogether.  Fix by only creating the
"publish-cleanup" job in tag pipelines for open source security
releases.

Merge branch 'michal/fix-triggering-rules-for-the-publish-cleanup-job' into 'main'

See merge request isc-projects/bind9!11992

2 months agoFix triggering rules for the "publish-cleanup" job
Michał Kępień [Mon, 11 May 2026 08:07:38 +0000 (10:07 +0200)] 
Fix triggering rules for the "publish-cleanup" job

The "publish-cleanup" tag pipeline job is currently created for all
security releases, including BIND -S releases, but it depends on the
"publish" job, which is only created for open source releases.  This
breaks CI configuration for BIND -S tags, preventing pipelines from
getting created for such tags altogether.  Fix by only creating the
"publish-cleanup" job in tag pipelines for open source security
releases.

2 months agoUpdate BIND version for release v9.21.22
Andoni Duarte Pintado [Fri, 8 May 2026 14:37:49 +0000 (16:37 +0200)] 
Update BIND version for release

2 months agonew: doc: Prepare documentation for BIND 9.21.22
Andoni Duarte [Fri, 8 May 2026 14:35:49 +0000 (14:35 +0000)] 
new: doc: Prepare documentation for BIND 9.21.22

Merge branch 'andoni/prepare-documentation-for-bind-9.21.22' into 'v9.21.22-release'

See merge request isc-private/bind9!1029

2 months agoTweak and reword release notes
Andoni Duarte Pintado [Thu, 7 May 2026 14:06:18 +0000 (16:06 +0200)] 
Tweak and reword release notes

2 months agochg: ci: Mark merged security fixes as "Not released yet"
Michał Kępień [Thu, 7 May 2026 16:05:37 +0000 (18:05 +0200)] 
chg: ci: Mark merged security fixes as "Not released yet"

Adjust the triggering rules for the "merged-metadata" CI job so that
merge requests merged into security-* branches are automatically
assigned to the "Not released yet" milestone, just like merge requests
targeting public branches.  This enables merge requests containing
security fixes to be correctly processed by release automation scripts.

Merge branch 'pspacek/extend-not-released-yet-milestone' into 'main'

See merge request isc-projects/bind9!11984

2 months agoMark merged security fixes as "Not released yet"
Petr Špaček [Tue, 5 May 2026 13:04:36 +0000 (15:04 +0200)] 
Mark merged security fixes as "Not released yet"

Adjust the triggering rules for the "merged-metadata" CI job so that
merge requests merged into security-* branches are automatically
assigned to the "Not released yet" milestone, just like merge requests
targeting public branches.  This enables merge requests containing
security fixes to be correctly processed by release automation scripts.

2 months agochg: ci: Enable automatic backports for security fixes
Michał Kępień [Thu, 7 May 2026 15:51:36 +0000 (17:51 +0200)] 
chg: ci: Enable automatic backports for security fixes

Ensure the "backports" CI job is created when new changes are merged
into security-* branches.  This enables using backport automation for
security fixes.

Merge branch 'michal/extend-automatic-backports' into 'main'

See merge request isc-projects/bind9!11938

2 months agoEnable automatic backports for security fixes
Michał Kępień [Thu, 7 May 2026 15:45:35 +0000 (17:45 +0200)] 
Enable automatic backports for security fixes

Ensure the "backports" CI job is created when new changes are merged
into security-* branches.  This enables using backport automation for
security fixes.

2 months agoPrepare release notes for BIND 9.21.22
Andoni Duarte Pintado [Thu, 7 May 2026 12:13:00 +0000 (14:13 +0200)] 
Prepare release notes for BIND 9.21.22

2 months agoGenerate changelog for BIND 9.21.22
Andoni Duarte Pintado [Thu, 7 May 2026 12:12:40 +0000 (14:12 +0200)] 
Generate changelog for BIND 9.21.22

2 months agofix: dev: Pass empty string instead of NULL to ns_client_dumpmessage()
Ondřej Surý [Wed, 6 May 2026 08:55:07 +0000 (10:55 +0200)] 
fix: dev: Pass empty string instead of NULL to ns_client_dumpmessage()

Pass "" instead of NULL to ns_client_dumpmessage() to get the log message printed.

Merge branch 'ondrej/fix-ns_client_dumpmessage-calls' into 'security-main'

See merge request isc-private/bind9!1022

2 months ago[CVE-2026-3593] sec: usr: Fix use-after-free in DNS-over-HTTPS when processing HTTP...
Aydın Mercan [Tue, 5 May 2026 12:27:06 +0000 (15:27 +0300)] 
[CVE-2026-3593] sec: usr: Fix use-after-free in DNS-over-HTTPS when processing HTTP/2 SETTINGS frames

A use-after-free vulnerability in the DNS-over-HTTPS implementation
could cause named to crash when a client sends a flood of HTTP/2
SETTINGS frames while a DoH response is being written. This affects
servers with DoH (DNS-over-HTTPS) enabled.

ISC would like to thank Naresh Kandula Parmar (Nottiboy) for reporting this.

For: https://gitlab.isc.org/isc-projects/bind9/-/issues/5755

Merge branch '5755-heap-user-after-free-http2-settings' into 'security-main'

See merge request isc-private/bind9!949

2 months agoPass empty string instead of NULL to ns_client_dumpmessage()
Ondřej Surý [Wed, 6 May 2026 08:12:35 +0000 (10:12 +0200)] 
Pass empty string instead of NULL to ns_client_dumpmessage()

The two new call sites added by the CLASS-validation work passed NULL
as the reason, but ns_client_dumpmessage() bails out early on a NULL
reason — so the message dump never happened. The intent was to dump
the message and let the follow-up ns_client_log() carry the reason
text, so pass "" to suppress the prefix without short-circuiting the
dump.

2 months agochg: usr: Fix CPU spikes and slow queries when cache approaches memory limit
Ondřej Surý [Tue, 5 May 2026 11:10:30 +0000 (13:10 +0200)] 
chg: usr: Fix CPU spikes and slow queries when cache approaches memory limit

Spread cache cleanup probabilistically to avoid CPU usage
spikes and a drop in query throughput.

Closes isc-projects/bind9#5891

Merge branch '5891-improve-overmem-cleaning' into 'security-main'

See merge request isc-private/bind9!1002

2 months agoFix use-after-free in DoH write buffer after HTTP/2 send
Aydın Mercan [Tue, 10 Mar 2026 11:48:02 +0000 (14:48 +0300)] 
Fix use-after-free in DoH write buffer after HTTP/2 send

After the send callback completes, the UV request is freed but
the HTTP/2 socket's write buffer still points to the freed memory.
If nghttp2 subsequently needs to send frames (e.g. SETTINGS ACK),
the server_read_callback reads from the dangling buffer.

Clear the write buffer before freeing the UV request.

2 months ago[CVE-2026-5946] sec: usr: Disable recursion, UPDATE, and NOTIFY for non-IN views
Ondřej Surý [Fri, 1 May 2026 08:13:10 +0000 (10:13 +0200)] 
[CVE-2026-5946] sec: usr: Disable recursion, UPDATE, and NOTIFY for non-IN views

Recursion, dynamic updates (UPDATE), and zone change notifications
(NOTIFY) are now disabled for views with a class other than IN
(such as CHAOS or HESIOD); authoritative service for non-IN zones
(e.g. version.bind in class CHAOS) continues to work as before.
Servers configured with recursion yes in a non-IN view will log a
warning at startup, and named-checkconf flags the same condition.
UPDATE and NOTIFY messages that specify the meta-classes ANY or NONE
in the question section are now rejected with FORMERR.

This addresses a set of closely related security issues collectively
identified as CVE-2026-5946. ISC would like to thank Mcsky23 for
bringing these issues to our attention.

Closes: https://gitlab.isc.org/isc-projects/bind9/-/issues/5784
Merge branch 'each-security-disable-chaos-recursion' into 'security-main'

See merge request isc-private/bind9!936

2 months agoMake isc_mem_isovermem() probabilistic
Ondřej Surý [Sun, 19 Apr 2026 19:36:43 +0000 (21:36 +0200)] 
Make isc_mem_isovermem() probabilistic

Replace the hysteretic hi_water/lo_water switch with a stochastic
check: always false below lo_water, always true at or above hi_water,
linearly ramped probability in between.  This spreads cache cleaning
across many inserts instead of triggering a thundering herd once the
hi_water mark is crossed (which causes every addrdataset to enter the
LRU purge path simultaneously and serializes lookups behind the node
write locks).

The is_overmem atomic and its stores are no longer needed and are
removed.  The existing tests that asserted specific hysteretic state
transitions are simplified to check only the deterministic boundaries.

2 months agoAdd system test for HTTP/2 SETTINGS frame flood
Aydın Mercan [Mon, 9 Mar 2026 12:48:34 +0000 (15:48 +0300)] 
Add system test for HTTP/2 SETTINGS frame flood

Send a valid DoH query followed by a flood of SETTINGS frames to
trigger a use-after-free in the write buffer.  Under ASan, named
will abort if the bug is present.

2 months agochg: dev: Harden GSS-API context establishment in TKEY negotiation
Ondřej Surý [Fri, 1 May 2026 06:51:33 +0000 (08:51 +0200)] 
chg: dev: Harden GSS-API context establishment in TKEY negotiation

Implement RFC 3645 Section 3.1.1 client-side check for REPLAY, MUTUAL, and INTEG flags after gss_init_sec_context() completes.  Add server-side INTEG flag check after gss_accept_sec_context().  Also fixes an uninitialized gss_name_t on the error path in dst_gssapi_initctx().

Merge branch 'ondrej/harden-gssapi-integration' into 'security-main'

See merge request isc-private/bind9!978

2 months agoTest server behavior when sending various UPDATE requests
Evan Hunt [Mon, 9 Mar 2026 04:50:04 +0000 (15:50 +1100)] 
Test server behavior when sending various UPDATE requests

Send update messages for zones with CLASS0, ANY and NONE.  The class
ANY UPDATE also attempts to delete a KX record in an existing IN
class zone to trigger a REQUIRE.

Test that the server is still running.

2 months ago[CVE-2026-3039] sec: usr: Fix GSS-API resource leak
Ondřej Surý [Fri, 1 May 2026 06:37:56 +0000 (08:37 +0200)] 
[CVE-2026-3039] sec: usr: Fix GSS-API resource leak

Fixed a memory leak where each GSS-API TKEY negotiation leaked a
security context inside the GSS library. An unauthenticated attacker
could exhaust server memory by sending repeated TKEY queries to a
server with tkey-gssapi-keytab configured. The leaked memory was
allocated by the GSS library, bypassing BIND's memory accounting.

Multi-round GSS-API negotiation (GSS_S_CONTINUE_NEEDED) is now
rejected, as BIND never supported it correctly and Kerberos/SPNEGO
completes in a single round.

Closes: https://gitlab.isc.org/isc-projects/bind9/-/issues/5752
Merge branch '5752-fix-memory-leak-in-TKEY-negotiation' into 'security-main'

See merge request isc-private/bind9!965

2 months agoCheck GSS_C_REPLAY_FLAG in client-side ret_flags validation
Ondřej Surý [Tue, 7 Apr 2026 13:58:31 +0000 (15:58 +0200)] 
Check GSS_C_REPLAY_FLAG in client-side ret_flags validation

RFC 3645 Section 3.1.1 mandates that the client MUST abandon the
algorithm if replay_det_state is FALSE after GSS_Init_sec_context
completes.  The previous commit checked MUTUAL and INTEG but missed
REPLAY, even though it was already requested in the input flags.

Add GSS_C_REPLAY_FLAG to the ret_flags bitmask check so all three
required properties (replay detection, mutual authentication, and
integrity) are verified.

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2 months agoTest UPDATE behavior in CHAOS and other non-IN classes
Evan Hunt [Tue, 17 Mar 2026 20:45:11 +0000 (13:45 -0700)] 
Test UPDATE behavior in CHAOS and other non-IN classes

Send various UPDATE requests that are known to have caused
crashes previously with deliberately misconfigured non-IN
zones; confirm that UPDATE is not processed.

2 months ago[CVE-2026-5947] sec: usr: Fix crash in resolver when SIG(0)-signed responses are...
Ondřej Surý [Fri, 1 May 2026 06:07:20 +0000 (08:07 +0200)] 
[CVE-2026-5947] sec: usr: Fix crash in resolver when SIG(0)-signed responses are received under load

A resolver could crash when handling a SIG(0)-signed response if the
matching client query was cancelled while signature verification was
still in progress — for example, when the recursive-clients quota
was exhausted. This has been fixed.

Closes isc-projects/bind9#5819

Merge branch '5819-fix-heap-use-after-free-in-resquery_response_continue' into 'security-main'

See merge request isc-private/bind9!964