تم إصدار الفرع الرئيسي لـ nginx 1.23.2، والذي يستمر من خلاله تطوير الميزات الجديدة، بالإضافة إلى إصدار الفرع المستقر المدعوم الموازي لـ nginx 1.22.1، والذي يتضمن فقط التغييرات المتعلقة بإزالة الأخطاء الجسيمة و نقاط الضعف.
تقضي الإصدارات الجديدة على اثنتين من نقاط الضعف (CVE-2022-41741، وCVE-2022-41742) في وحدة ngx_http_mp4_module، المستخدمة لتنظيم التدفق من الملفات بتنسيق H.264/AAC. يمكن أن تؤدي الثغرات الأمنية إلى تلف الذاكرة أو تسرب الذاكرة عند معالجة ملف mp4 معد خصيصًا. يتم ذكر الإنهاء الطارئ لعملية العمل نتيجة لذلك، ولكن لا يتم استبعاد المظاهر الأخرى، مثل تنظيم تنفيذ التعليمات البرمجية على الخادم.
من الجدير بالذكر أنه تم بالفعل إصلاح ثغرة أمنية مماثلة في وحدة ngx_http_mp4_module في عام 2012. بالإضافة إلى ذلك، أبلغ F5 عن ثغرة أمنية مماثلة (CVE-2022-41743) في منتج NGINX Plus، مما يؤثر على وحدة ngx_http_hls_module، التي توفر الدعم لبروتوكول HLS (Apple HTTP Live Streaming).
بالإضافة إلى إزالة الثغرات الأمنية، تم اقتراح التغييرات التالية في nginx 1.23.2:
- تمت إضافة دعم لمتغيرات “$proxy_protocol_tlv_*” التي تحتوي على قيم حقول TLV (Type-Length-Value) التي تظهر في بروتوكول Type-Length-Value PROXY v2.
- تم توفير التدوير التلقائي لمفاتيح التشفير لتذاكر جلسة TLS، المستخدمة عند استخدام الذاكرة المشتركة في توجيه ssl_session_cache.
- تم تخفيض مستوى التسجيل للأخطاء المتعلقة بأنواع سجلات SSL غير الصحيحة من المستوى الحرج إلى المستوى المعلوماتي.
- تم تغيير مستوى التسجيل للرسائل المتعلقة بعدم القدرة على تخصيص الذاكرة لجلسة عمل جديدة من التنبيه إلى التحذير ويقتصر على إخراج إدخال واحد في الثانية.
- على منصة Windows، تم إنشاء التجميع مع OpenSSL 3.0.
- تحسين انعكاس أخطاء بروتوكول PROXY في السجل.
- تم إصلاح مشكلة عدم عمل المهلة المحددة في التوجيه "ssl_session_timeout" عند استخدام TLSv1.3 استنادًا إلى OpenSSL أو BoringSSL.
المصدر: opennet.ru