ProHoster > Blog > internet nuus > Vrystellings van nginx 1.21.0 en nginx 1.20.1 met sekuriteitsoplossings

Vrystellings van nginx 1.21.0 en nginx 1.20.1 met sekuriteitsoplossings

Die eerste weergawe van die nuwe hooftak van nginx 1.21.0 is aangebied, waarbinne die ontwikkeling van nuwe funksies sal voortgaan. Terselfdertyd is 'n regstellende vrystelling voorberei in parallel met die ondersteunde stabiele tak 1.20.1, wat slegs veranderinge instel wat verband hou met die uitskakeling van ernstige foute en kwesbaarhede. Volgende jaar, gebaseer op die hooftak 1.21.x, sal 'n stabiele tak 1.22 gevorm word.

Die nuwe weergawes herstel 'n kwesbaarheid (CVE-2021-23017) in die kode vir die oplossing van gasheername in DNS, wat kan lei tot 'n ineenstorting of moontlike uitvoering van aanvallerkode. Die probleem manifesteer hom in die verwerking van sekere DNS-bedienerreaksies wat lei tot 'n eengreep-bufferoorloop. Die kwesbaarheid verskyn slegs wanneer dit in die DNS-oplosserinstellings geaktiveer is deur die "resolver"-aanwysing te gebruik. Om 'n aanval uit te voer, moet 'n aanvaller UDP-pakkies vanaf die DNS-bediener kan bedrieg of beheer oor die DNS-bediener kan verkry. Die kwesbaarheid het verskyn sedert die vrystelling van nginx 0.6.18. 'n Pleister kan gebruik word om die probleem in ouer vrystellings op te los.

Nie-sekuriteitsveranderinge in nginx 1.21.0:

  • Veranderlike ondersteuning is bygevoeg by die riglyne "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" en "uwsgi_ssl_certificate_key".
  • Die pos-instaanbediener-module het ondersteuning bygevoeg vir "pipelining" vir die stuur van veelvuldige POP3- of IMAP-versoeke in 'n enkele verbinding, en het ook 'n nuwe richtlijn bygevoeg "max_errors", wat die maksimum aantal protokolfoute definieer waarna die verbinding gesluit sal word.
  • Het 'n "vasopen"-parameter by die stroommodule gevoeg, wat die "TCP Fast Open"-modus vir luistersockets aktiveer.
  • Probleme met die ontsnapping van spesiale karakters tydens outomatiese herleidings deur 'n skuinsstreep aan die einde by te voeg, is opgelos.
  • Die probleem met die sluiting van verbindings met kliΓ«nte wanneer SMTP-pypleiding gebruik word, is opgelos.

Bron: opennet.ru

Voeg 'n opmerking