ProHoster > Blog > internet nuus > Dateer nginx 1.22.1 en 1.23.2 op met kwesbaarhede opgelos

Dateer nginx 1.22.1 en 1.23.2 op met kwesbaarhede opgelos

Die hooftak van nginx 1.23.2 is vrygestel, waarbinne die ontwikkeling van nuwe kenmerke voortgaan, sowel as die vrystelling van die parallel ondersteunde stabiele tak van nginx 1.22.1, wat slegs veranderinge insluit wat verband hou met die uitskakeling van ernstige foute en kwesbaarhede.

Die nuwe weergawes skakel twee kwesbaarhede uit (CVE-2022-41741, CVE-2022-41742) in die ngx_http_mp4_module-module, wat gebruik word om stroming vanaf lêers in die H.264/AAC-formaat te organiseer. Die kwesbaarhede kan lei tot geheuekorrupsie of geheuelek wanneer 'n spesiaal vervaardigde mp4-lêer verwerk word. 'n Noodbeëindiging van 'n werkproses word as gevolg daarvan genoem, maar ander manifestasies word nie uitgesluit nie, soos die organisasie van kode-uitvoering op die bediener.

Dit is opmerklik dat 'n soortgelyke kwesbaarheid reeds in 4 in die ngx_http_mp2012_module-module reggestel is. Daarbenewens het F5 'n soortgelyke kwesbaarheid (CVE-2022-41743) in die NGINX Plus-produk gerapporteer, wat die ngx_http_hls_module-module beïnvloed, wat ondersteuning bied vir die HLS (Apple HTTP Live Streaming)-protokol.

Benewens die uitskakeling van kwesbaarhede, word die volgende veranderinge in nginx 1.23.2 voorgestel:

  • Bygevoeg ondersteuning vir die "$proxy_protocol_tlv_*" veranderlikes, wat die waardes van die TLV (Type-Length-Value)-velde bevat wat in die Type-Length-Value PROXY v2-protokol verskyn.
  • Voorsien outomatiese rotasie van enkripsiesleutels vir TLS-sessiekaartjies, gebruik wanneer gedeelde geheue in die ssl_session_cache-aanwysing gebruik word.
  • Die aantekenvlak vir foute wat verband hou met verkeerde SSL-rekordtipes is van kritieke na inligtingsvlak verlaag.
  • Die aantekenvlak vir boodskappe oor die onvermoë om geheue vir 'n nuwe sessie toe te ken, is verander van waarskuwing na waarskuwing en is beperk tot die uitvoer van een inskrywing per sekonde.
  • Op die Windows-platform is samestelling met OpenSSL 3.0 gevestig.
  • Verbeterde weerspieëling van PROXY-protokolfoute in die logboek.
  • Het 'n probleem opgelos waar die uitteltyd gespesifiseer in die "ssl_session_timeout"-riglyne nie gewerk het wanneer TLSv1.3 gebaseer is op OpenSSL of BoringSSL nie.

Bron: opennet.ru

Voeg 'n opmerking