🥇Nginx 1.26.3 и 1.27.4 актуализации, коригиращи уязвимостта на TLS

Пуснат е основният клон на nginx 1.27.4, в рамките на който се разработват нови функции, както и паралелният стабилен клон на nginx 1.26.3, който съдържа само промени, свързани с елиминирането на сериозни грешки и уязвимости. Актуализациите коригират уязвимост (CVE-2025-23419), която позволява заобикаляне на проверката на клиентски TLS сертификати.

Уязвимостта е причинена от липсата на правилна проверка при обработка на виртуални хостове, свързани с един IP адрес и номер на порт и избрани по време на HTTPS достъп въз основа на името на домейна, зададено с помощта на разширението SNI TLS. В такива конфигурации, атакуващ може да използва повторно TLS сесия в контекста на различен виртуален хост, за да заобиколи удостоверяването, използвайки TLS сертификата на клиента. Проблемът се проявява в конфигурации, които поддържат възобновяване на TLS сесията с помощта на „TLS билет за сесия“ или които използват кеш на TLS сесия в настройките. сървър по подразбиране, който използва удостоверяване чрез клиентски TLS сертификати. Уязвимостта е налице от версия 1.11.4 на nginx, когато е изграден с OpenSSL и е активиран TLSv1.3 протоколът.

Промени, които не са свързани със сигурността:

Добавени възможности за намаляване на потреблението на ресурси и натоварването на процесора при използване на TLS в конфигурации с голям брой сървъри и блокове за местоположение. Добавените промени позволяват, вместо да се създава отделен SSL контекст (SSL_CTX в OpenSSL) за всеки конфигурационен блок, да се използва съществуващият SSL контекст от родителския блок.
Отстранени са проблеми с дългото зареждане на конфигурационни файлове поради многократно парсиране на един и същ набор TLS сертификати, ключове и списъци със сертифициращи органи. Презареждането на конфигурации е ускорено чрез повторно използване на непроменени TLS обекти, като сертификати, ключове и CRL. Добавена е директивата „ssl_object_cache_inheritable“, за да се деактивира наследяването на обекти по време на актуализации на конфигурацията.
Добавен кеш за сертификати и ключове, заредени с помощта на променливи в директиви (напр. "ssl_certificate /etc/ssl/$ssl_server_name.crt"). Директивите "ssl_certificate_cache", "proxy_ssl_certificate_cache", "grpc_ssl_certificate_cache" и "uwsgi_ssl_certificate_cache" са добавени за управление на кеша. Посочените директиви ви позволяват да конфигурирате максималния размер на кеша, периода на валидност на записите и времето за почистване на неизползваните записи. Например: "ssl_certificate_cache max=1000 inactive=20s valid=1m;".
Добавена е директивата "keepalive_min_timeout", която дефинира времето за изчакване, през което nginx няма да затвори поддържащата връзка с клиента.
Проблемът с появата на регистрационни съобщения „gzip филтърът не успя да използва предварително разпределената памет“ при изграждане с библиотеката zlib-ng е разрешен.
Коригиран проблем с изграждането на либатомната библиотека при използване на опцията за изграждане "--with-libatomic=DIR"
Коригирана грешка, която правеше невъзможно установяването на връзка чрез протокола QUIC при използване на 0-RTT.
Гарантира, че заявките за договаряне на QUIC версия от клиенти се игнорират.
Решени проблеми с изграждането на Solaris 10 с модула ngx_http_v3_module.
Коригирани са грешки в изпълнението на HTTP/3.

Източник: opennet.ru

nginx 1.26.3 и 1.27.4 актуализации за коригиране на TLS уязвимостта