Nginx 1.21.0-ın yeni əsas qolunun ilk buraxılışı təqdim olundu, onun çərçivəsində yeni funksiyaların inkişafı davam edəcək. Eyni zamanda, dəstəklənən stabil filial 1.20.1 ilə paralel olaraq düzəldici buraxılış hazırlanmışdır ki, bu da yalnız ciddi səhvlərin və zəifliklərin aradan qaldırılması ilə bağlı dəyişiklikləri təqdim edir. Gələn il 1.21.x əsas filialı əsasında sabit filial 1.22 formalaşacaq.
Yeni versiyalar DNS-də host adlarının həlli üçün koddakı zəifliyi (CVE-2021-23017) düzəldir ki, bu da qəzaya və ya potensial olaraq hücumçu kodunun icrasına səbəb ola bilər. Problem bir baytlıq bufer daşması ilə nəticələnən müəyyən DNS server cavablarının işlənməsi zamanı özünü göstərir. Zəiflik yalnız “həlledici” direktivindən istifadə edərək DNS həlledici parametrlərində aktivləşdirildikdə görünür. Hücum etmək üçün təcavüzkar DNS serverindən UDP paketlərini saxtalaşdıra və ya DNS serverinə nəzarəti ələ keçirə bilməlidir. Boşluq nginx 0.6.18-in buraxılışından sonra yaranıb. Köhnə buraxılışlarda problemi həll etmək üçün yamaq istifadə edilə bilər.
Nginx 1.21.0-da təhlükəsizliklə bağlı olmayan dəyişikliklər:
- Dəyişən dəstək "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" və "uwsgi_ssl_key_cer" direktivlərinə əlavə edildi.
- Poçt proksi modulu bir əlaqədə çoxlu POP3 və ya IMAP sorğularının göndərilməsi üçün “boruların ötürülməsi” üçün dəstək əlavə etdi və həmçinin əlaqənin bağlanacağı protokol xətalarının maksimum sayını təyin edən yeni “max_errors” direktivi əlavə etdi.
- Dinləmə rozetkaları üçün "TCP Fast Open" rejimini aktivləşdirən axın moduluna "fastopen" parametri əlavə edildi.
- Avtomatik yönləndirmələr zamanı sonda slash işarəsi əlavə edilməklə xüsusi simvolların qaçması ilə bağlı problemlər həll edildi.
- SMTP boru kəmərindən istifadə edərkən müştərilərlə əlaqəni bağlamaq problemi həll edildi.
Mənbə: opennet.ru