تم تقديم الإصدار الأول من الفرع الرئيسي الجديد لـ nginx 1.21.0، والذي سيستمر من خلاله تطوير الميزات الجديدة. وفي الوقت نفسه، تم إعداد إصدار تصحيحي بالتوازي مع الفرع المستقر المدعوم 1.20.1، والذي يقدم فقط تغييرات تتعلق بإزالة الأخطاء الجسيمة ونقاط الضعف. في العام المقبل، استنادًا إلى الفرع الرئيسي 1.21.x، سيتم تشكيل فرع مستقر 1.22.
تعمل الإصدارات الجديدة على إصلاح ثغرة أمنية (CVE-2021-23017) في التعليمات البرمجية الخاصة بحل أسماء المضيفين في DNS، والتي قد تؤدي إلى تعطل أو احتمال تنفيذ تعليمات برمجية للمهاجم. تتجلى المشكلة في معالجة بعض استجابات خادم DNS مما يؤدي إلى تجاوز سعة المخزن المؤقت بمقدار بايت واحد. تظهر الثغرة الأمنية فقط عند تمكينها في إعدادات محلل DNS باستخدام توجيه "المحلل". لتنفيذ هجوم، يجب أن يكون المهاجم قادرًا على انتحال حزم UDP من خادم DNS أو التحكم في خادم DNS. ظهرت الثغرة الأمنية منذ إصدار nginx 0.6.18. يمكن استخدام التصحيح لإصلاح المشكلة في الإصدارات الأقدم.
التغييرات غير الأمنية في nginx 1.21.0:
- تمت إضافة دعم متغير إلى التوجيهات "proxy_ssl_certificate" و"proxy_ssl_certificate_key" و"grpc_ssl_certificate" و"grpc_ssl_certificate_key" و"uwsgi_ssl_certificate" و"uwsgi_ssl_certificate_key".
- أضافت وحدة وكيل البريد دعمًا لـ "خطوط الأنابيب" لإرسال طلبات POP3 أو IMAP متعددة في اتصال واحد، كما أضافت توجيهًا جديدًا "max_errors"، والذي يحدد الحد الأقصى لعدد أخطاء البروتوكول التي سيتم بعدها إغلاق الاتصال.
- تمت إضافة معلمة "fastopen" إلى وحدة الدفق، مما يتيح وضع "TCP Fast Open" لمآخذ الاستماع.
- تم حل مشكلات الهروب من الأحرف الخاصة أثناء عمليات إعادة التوجيه التلقائية عن طريق إضافة شرطة مائلة في النهاية.
- تم حل مشكلة إغلاق الاتصالات بالعملاء عند استخدام خطوط أنابيب SMTP.
المصدر: opennet.ru