ProHoster > Bloc > notícies d'internet > Actualització de Nginx 1.22.1 i 1.23.2 amb vulnerabilitats solucionades

Actualització de Nginx 1.22.1 i 1.23.2 amb vulnerabilitats solucionades

S'ha llançat la branca principal de nginx 1.23.2, dins de la qual continua el desenvolupament de noves característiques, així com el llançament de la branca estable suportada en paral·lel de nginx 1.22.1, que només inclou canvis relacionats amb l'eliminació d'errors greus i vulnerabilitats.

Les noves versions eliminen dues vulnerabilitats (CVE-2022-41741, CVE-2022-41742) al mòdul ngx_http_mp4_module, que s'utilitza per organitzar la transmissió de fitxers en format H.264/AAC. Les vulnerabilitats podrien provocar corrupció de memòria o fuites de memòria quan es processa un fitxer mp4 especialment dissenyat. Com a conseqüència s'esmenta una terminació d'emergència d'un procés de treball, però no s'exclouen altres manifestacions, com ara l'organització de l'execució de codi al servidor.

Cal destacar que ja es va solucionar una vulnerabilitat similar al mòdul ngx_http_mp4_module el 2012. A més, F5 va informar d'una vulnerabilitat similar (CVE-2022-41743) al producte NGINX Plus, que afectava el mòdul ngx_http_hls_module, que proporciona suport per al protocol HLS (Apple HTTP Live Streaming).

A més d'eliminar les vulnerabilitats, es proposen els canvis següents a nginx 1.23.2:

  • S'ha afegit suport per a les variables "$proxy_protocol_tlv_*", que contenen els valors dels camps TLV (Type-Length-Value) que apareixen al protocol Type-Length-Value PROXY v2.
  • S'ha proporcionat la rotació automàtica de les claus de xifratge per als tiquets de sessió TLS, que s'utilitza quan s'utilitza memòria compartida a la directiva ssl_session_cache.
  • El nivell de registre d'errors relacionats amb tipus de registre SSL incorrectes s'ha reduït del nivell crític al nivell informatiu.
  • El nivell de registre dels missatges sobre la impossibilitat d'assignar memòria per a una sessió nova s'ha canviat d'alerta a advertència i es limita a generar una entrada per segon.
  • A la plataforma Windows, s'ha establert el muntatge amb OpenSSL 3.0.
  • Reflexió millorada dels errors del protocol PROXY al registre.
  • S'ha solucionat un problema en què el temps d'espera especificat a la directiva "ssl_session_timeout" no funcionava quan s'utilitzava TLSv1.3 basat en OpenSSL o BoringSSL.

Font: opennet.ru

Afegeix comentari