🥇 HTTP/1.27.0 বাস্তবায়নে ৪টি দুর্বলতা দূর করে nginx 4 এর নতুন সংস্করণ

nginx 1.27.0 এর নতুন প্রধান শাখার প্রথম প্রকাশ উপস্থাপন করা হয়েছে, যার মধ্যে নতুন বৈশিষ্ট্যগুলির বিকাশ অব্যাহত থাকবে। একই সময়ে, nginx 1.26.1 প্রকাশ করা হয়েছিল, যা সমান্তরাল সমর্থিত স্থিতিশীল শাখার অন্তর্গত, যা শুধুমাত্র গুরুতর ত্রুটি এবং দুর্বলতা দূর করার সাথে সম্পর্কিত পরিবর্তনগুলি অন্তর্ভুক্ত করে। পরের বছর, প্রধান শাখা 1.27.x এর উপর ভিত্তি করে একটি স্থিতিশীল শাখা 1.28 গঠিত হবে। প্রকল্পের কোড সি-তে লেখা এবং বিএসডি লাইসেন্সের অধীনে বিতরণ করা হয়েছে।

নতুন রিলিজগুলি পরীক্ষামূলক ngx_http_v4 মডিউলকে প্রভাবিত করে (ডিফল্টরূপে নিষ্ক্রিয়) 3টি দুর্বলতার সমাধান করে, যা HTTP/3-এর পরিবহন হিসাবে QUIC প্রোটোকল ব্যবহার করে HTTP/2 প্রোটোকলের জন্য সমর্থন প্রদান করে। ngx_http_v3_module মডিউল সক্রিয় করা হলে এবং "শুনুন" নির্দেশনায় "কুইক" বিকল্পটি সেট করা থাকলেই সমস্যা দেখা দেয়। অ্যাঞ্জি এবং ফ্রিএনজিনক্স ফর্কগুলির দুর্বলতা সম্পর্কে এখনও কোনও শব্দ নেই।

CVE-2024-34161 দুর্বলতার কারণে কর্মী প্রক্রিয়া মেমরি 4096 বাইটের বেশি MTU মান সহ সিস্টেমে ফাঁস হয়ে যায়। একটি মেমরি লিক ঘটে যখন সংযোগ আলোচনায় ব্যবহৃত CRYPTO ফ্রেমগুলি ক্লায়েন্ট চূড়ান্তকরণের বার্তা পাঠানোর পরে পাঠানো হয়।

CVE-2024-31079, CVE-2024-32760, এবং CVE-2024-35200 মেমরি দুর্নীতির দুর্বলতাগুলি একটি দূরবর্তী আক্রমণকারীকে QUIC প্রোটোকলের উপর ভিত্তি করে একটি বিশেষভাবে তৈরি করা সেশন প্রতিষ্ঠা করে একটি nginx কর্মী প্রক্রিয়া ক্র্যাশ করার অনুমতি দেয়৷ একই সময়ে, দুর্বলতার জন্য CVE-2024-31079 এবং CVE-2024-32760, আক্রমণের অন্যান্য পরিণতিগুলি বাদ দেওয়া যায় না (আক্রমণকারীর কোড কার্যকর করার সম্ভাব্য সম্ভাবনা?)। বিশদ বিবরণ দেওয়া হয়নি, তবে কোডের সংশোধনগুলির দ্বারা বিচার করে, দুর্বলতাগুলি ইতিমধ্যে মুক্ত করা মেমরি (ব্যবহার-পর-মুক্ত), অ্যারের জন্য ভুল মেমরি বরাদ্দ, নাল পয়েন্টার ডিরেফারেন্স এবং আকারের সঠিক চেকিংয়ের অভাবের কারণে ঘটে। ডেটা বাফারে স্থাপন করা হয়।

nginx 1.27.0 এ দুর্বলতা দূরীকরণের সাথে সম্পর্কিত নয় এমন পরিবর্তনগুলির মধ্যে:

ভেরিয়েবল নির্দিষ্ট করার জন্য সমর্থন যোগ করা হয়েছে “proxy_limit_rate”, “fastcgi_limit_rate”, “scgi_limit_rate” এবং “uwsgi_limit_rate” নির্দেশাবলীতে।
"gzip", "gunzip", "ssi", "sub_filter" বা "grpc_pass" নির্দেশাবলী ব্যবহার করে এমন কনফিগারেশনগুলিতে দীর্ঘস্থায়ী অনুরোধগুলি প্রক্রিয়া করার সময় মেমরি খরচ হ্রাস করা হয়।
GCC 14-এ রিসেট করার সময় "--with-atomic" বিকল্প ব্যবহার করার সময় সমস্যার সমাধান করা হয়েছে।
HTTP/3 বাস্তবায়নের বাগগুলি ঠিক করা হয়েছে৷

উপরন্তু, আমরা FreeNginx 1.27.0-এর নতুন প্রধান শাখার প্রকাশনা নোট করতে পারি, Nginx-এর একটি কাঁটা, ম্যাক্সিম ডানিন, Nginx-এর অন্যতম বিকাশকারী। FreeNginx একটি অলাভজনক প্রকল্প হিসাবে অবস্থান করছে যা কর্পোরেট হস্তক্ষেপ ছাড়াই Nginx কোড বেসের বিকাশ প্রদান করে। রিকোয়েস্ট বডি পড়ার সময় নতুন সংস্করণে ত্রুটি পরিচালনার উন্নতি হয়েছে, নেটবিএসডি 10.0-এ উন্নত সমাবেশ এবং পিআইডি ফাইলের উন্নত লেখা ("পিড" নির্দেশে "অফ" প্যারামিটার যোগ করা হয়েছে)।

উত্স: opennet.ru