Прадстаўлены першы выпуск новай асноўнай галінкі nginx 1.21.0, у рамках якой будзе працягнута развіццё новых магчымасцяў. Адначасова падрыхтаваны які карэктуе выпуск раўналежна падтрымоўванай стабільнай галінкі 1.20.1, у якой уносяцца толькі змены, звязаныя з ухіленнем сур'ёзных памылак і ўразлівасцяў. У наступным годзе на базе асноўнай веткі 1.21.x будзе сфарміравана стабільная ветка 1.22.
У новых версіях ухіленая ўразлівасць (CVE-2021-23017) у кодзе для дазволу імёнаў хастоў у DNS, якая можа прывесці да краху або патэнцыйна да выканання кода атакавалага. Праблема праяўляецца апрацоўцы пэўных адказаў DNS-сервера, якія прыводзяць да аднабайтавага перапаўнення буфера. Уразлівасць выяўляецца толькі пры ўключэнні ў наладах DNS-рэзалвера пры дапамозе дырэктывы "resolver". Для здзяйснення нападу зламыснік павінен мець магчымасць падрабіць UDP-пакеты ад DNS-сервера ці атрымаць кантроль над DNS-серверам. Уразлівасць выяўляецца пачынальна з выпуску nginx 0.6.18. Для ўхілення праблемы ў старых выпусках можна выкарыстоўваць патч.
Змены ў nginx 1.21.0, не злучаныя з бяспекай:
- У дырэктывах "proxy_ssl_certificate", "proxy_ssl_certificate_key" "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" і "uwsgi_ssl_certificate_key" дададзеная.
- У паштовы проксі-модуль дададзена падтрымка "pipelining" для перадачы некалькіх запытаў POP3 або IMAP у адным злучэнні, а таксама дададзена новая дырэктыва "max_errors", якая вызначае максімальную колькасць памылак пратакола, пасля якіх злучэнне будзе зачынена.
- У модуль stream дададзены параметр "fastopen", які ўключае рэжым "TCP Fast Open" для слухаючых сокетаў.
- Вырашаны праблемы з экранаваннем спецзнакаў пры аўтаматычным рэдырэкце з даданнем у канец слэша.
- Вырашана праблема з закрыццём злучэнняў з кліентамі пры выкарыстанні SMTP pipelining.
Крыніца: opennet.ru