Objavljena je glavna grana nginxa 1.23.2 u okviru koje se nastavlja razvoj novih funkcija, kao i izdavanje paralelno podržane stabilne grane nginxa 1.22.1, koja uključuje samo promjene vezane za eliminaciju ozbiljnih grešaka i ranjivosti.
Nove verzije eliminišu dve ranjivosti (CVE-2022-41741, CVE-2022-41742) u modulu ngx_http_mp4_module, koji se koristi za organizovanje strimovanja iz datoteka u H.264/AAC formatu. Ranjivosti mogu dovesti do oštećenja memorije ili curenja memorije prilikom obrade posebno kreiranog mp4 fajla. Kao posledica pominje se hitan prekid radnog procesa, ali nisu isključene i druge manifestacije, kao što je organizacija izvršavanja koda na serveru.
Važno je napomenuti da je slična ranjivost već ispravljena u modulu ngx_http_mp4_module 2012. godine. Pored toga, F5 je prijavio sličnu ranjivost (CVE-2022-41743) u NGINX Plus proizvodu, koja utiče na modul ngx_http_hls_module, koji pruža podršku za HLS (Apple HTTP Live Streaming) protokol.
Pored eliminacije ranjivosti, u nginx 1.23.2 su predložene sljedeće promjene:
- Dodata podrška za varijable “$proxy_protocol_tlv_*”, koje sadrže vrijednosti TLV (Type-Length-Value) polja koja se pojavljuju u protokolu Type-Length-Value PROXY v2.
- Obezbeđena automatska rotacija ključeva za šifrovanje za TLS tikete sesije, koji se koriste kada se koristi dijeljena memorija u ssl_session_cache direktivi.
- Nivo evidentiranja grešaka koje se odnose na netačne tipove SSL zapisa spušten je sa kritičnog na informativni nivo.
- Nivo evidentiranja poruka o nemogućnosti dodjeljivanja memorije za novu sesiju je promijenjen sa upozorenja na upozorenje i ograničen je na izlaz jednog unosa u sekundi.
- Na Windows platformi uspostavljen je sklop sa OpenSSL 3.0.
- Poboljšana refleksija grešaka PROXY protokola u dnevniku.
- Popravljen je problem zbog kojeg vremensko ograničenje navedeno u direktivi "ssl_session_timeout" nije radilo kada se koristi TLSv1.3 zasnovan na OpenSSL-u ili BoringSSL-u.
izvor: opennet.ru