Nginx 1.22.1 и 1.23.2 актуализация с коригирани уязвимости

Пуснат е основният клон на nginx 1.23.2, в който продължава разработването на нови функции, както и пускането на паралелно поддържания стабилен клон на nginx 1.22.1, който включва само промени, свързани с отстраняването на сериозни грешки и уязвимости.

Новите версии елиминират две уязвимости (CVE-2022-41741, CVE-2022-41742) в модула ngx_http_mp4_module, използван за организиране на стрийминг от файлове във формат H.264/AAC. Уязвимостите могат да доведат до повреда на паметта или изтичане на памет при обработка на специално създаден mp4 файл. Като последица се споменава аварийно прекратяване на работен процес, но не са изключени и други прояви, като организиране на изпълнение на код на сървъра.

Трябва да се отбележи, че подобна уязвимост вече беше коригирана в модула ngx_http_mp4_module през 2012 г. В допълнение, F5 съобщи за подобна уязвимост (CVE-2022-41743) в продукта NGINX Plus, засягаща модула ngx_http_hls_module, който осигурява поддръжка за протокола HLS (Apple HTTP Live Streaming).

В допълнение към елиминирането на уязвимостите, в nginx 1.23.2 се предлагат следните промени:

• Добавена е поддръжка за променливите „$proxy_protocol_tlv_*“, които съдържат стойностите на полетата TLV (Type-Length-Value), които се появяват в протокола Type-Length-Value PROXY v2.
• Осигурена автоматична ротация на ключове за шифроване за билети за TLS сесии, използвани при използване на споделена памет в директивата ssl_session_cache.
• Нивото на регистриране за грешки, свързани с неправилни типове SSL записи, е понижено от критично до информационно ниво.
• Нивото на регистриране за съобщения за невъзможност за разпределяне на памет за нова сесия е променено от предупреждение на предупреждение и е ограничено до извеждане на един запис в секунда.
• На платформата Windows е установено сглобяване с OpenSSL 3.0.
• Подобрено отразяване на грешките на протокола PROXY в дневника.
• Коригиран проблем, при който времето за изчакване, посочено в директивата "ssl_session_timeout", не работи при използване на TLSv1.3, базиран на OpenSSL или BoringSSL.

Източник: opennet.ru