Сфарміраваны выпуск асноўнай галіны nginx 1.23.2, у рамках якой працягваецца развіццё новых магчымасцяў, а таксама выпуск раўналежна падтрымоўванай стабільнай галінкі nginx 1.22.1, у якую ўносяцца толькі змены, злучаныя з ухіленнем сур'ёзных памылак і ўразлівасцяў.
У новых версіях ухіленыя дзве ўразлівасці (CVE-2022-41741, CVE-2022-41742) у модулі ngx_http_mp4_module, ужывальным для арганізацыі струменевага вяшчання з файлаў у фармаце H.264/AAC. Уразлівасці могуць прывесці да пашкоджання памяці ці ўцечцы змесціва памяці пры апрацоўцы адмыслова аформленага файла ў фармаце mp4. У якасці наступстваў згадваецца аварыйнае завяршэнне працоўнага працэсу, але не выключаюцца і іншыя праявы, такія як арганізацыя выканання кода на серверы.
Характэрна, што падобная ўразлівасць ужо ўхілялася ў модулі ngx_http_mp4_module у 2012 году. Акрамя таго, кампанія F5 паведаміла аб падобнай уразлівасці (CVE-2022-41743) у прадукце NGINX Plus, якая закранае модуль ngx_http_hls_module, які забяспечвае падтрымку пратаколу HLS (Apple HTTP Live Streaming).
Акрамя ўхілення ўразлівасцяў у nginx 1.23.2 прапанаваны наступныя змены:
- Дададзена падтрымка зменных "$proxy_protocol_tlv_*", у якія запісваюцца значэнні палёў TLV (Type-Length-Value), якія фігуруюць у пратаколе Type-Length-Value PROXY v2.
- Забяспечана аўтаматычная ратацыя ключоў шыфравання для сесійных тыкетаў TLS, якая ўжываецца пры выкарыстанні падзялянай памяці ў дырэктыве ssl_session_cache.
- Узровень вядзення лога для памылак, злучаных з некарэктным тыпам запісаў SSL, паніжаны з крытычнага да інфармацыйнага ўзроўня.
- Узровень вядзення лога для паведамленняў аб немагчымасці вылучыць памяць для новага сеансу зменены з alert на warn і абмежаваны высновай аднаго запісу ў секунду.
- На платформе Windows наладжана зборка з OpenSSL 3.0.
- Наладжана адлюстраванне ў логу памылак пратаколу PROXY.
- Ухіленая праблема, з-за якой пры выкарыстанні TLSv1.3 на базе OpenSSL або BoringSSL не працаваў таймаўт, паказаны ў дырэктыве "ssl_session_timeout".
Крыніца: opennet.ru