Predstavljeno je prvo izdanje nove glavne grane nginxa 1.21.0 u okviru koje će se nastaviti razvoj novih mogućnosti. Istovremeno, paralelno sa podržanom stabilnom granom 1.20.1 pripremljeno je i korektivno izdanje, koje samo uvodi promjene vezane za eliminaciju ozbiljnih grešaka i ranjivosti. Sljedeće godine će se na bazi glavne grane 1.21.x formirati stabilna grana 1.22.
Nove verzije popravljaju ranjivost (CVE-2021-23017) u kodu za rješavanje imena hostova u DNS-u, što bi moglo dovesti do pada ili potencijalnog izvršavanja napadačkog koda. Problem se manifestuje u obradi određenih odgovora DNS servera što rezultira prelivanjem bafera od jednog bajta. Ranjivost se pojavljuje samo kada je omogućena u postavkama DNS razrješavača korištenjem direktive “resolver”. Da bi izvršio napad, napadač mora biti u stanju da lažira UDP pakete sa DNS servera ili da dobije kontrolu nad DNS serverom. Ranjivost se pojavila od izlaska nginxa 0.6.18. Zakrpa se može koristiti za rješavanje problema u starijim izdanjima.
Nesigurnosne promjene u nginxu 1.21.0:
- Podrška za varijable je dodana direktivama "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" i "uwsgificate_ssl_certi".
- Mail proxy modul je dodao podršku za “pipelining” za slanje više POP3 ili IMAP zahtjeva u jednoj vezi, a također je dodao novu direktivu “max_errors” koja definira maksimalan broj grešaka u protokolu nakon kojih će se veza zatvoriti.
- Dodan parametar "fastopen" u stream modul, omogućavajući "TCP Fast Open" mod za slušanje utičnica.
- Problemi sa izbjegavanjem posebnih znakova tokom automatskih preusmjeravanja dodavanjem kose crte na kraju su riješeni.
- Problem sa zatvaranjem veza sa klijentima kada se koristi SMTP cevovod je rešen.
izvor: opennet.ru