ProHoster > Blog > nutizie internet > Nginx 1.22.1 è 1.23.2 aghjurnà cù vulnerabilità fissate

Nginx 1.22.1 è 1.23.2 aghjurnà cù vulnerabilità fissate

U ramu principalu di nginx 1.23.2 hè statu liberatu, in u quale u sviluppu di novi funziunalità cuntinueghja, è ancu a liberazione di u ramu stabile supportatu in parallelu di nginx 1.22.1, chì include solu cambiamenti riguardanti l'eliminazione di errori serii è vulnerabilità.

I novi versioni eliminanu dui vulnerabili (CVE-2022-41741, CVE-2022-41742) in u modulu ngx_http_mp4_module, utilizatu per urganizà streaming da i schedari in u formatu H.264/AAC. E vulnerabilità ponu purtà à a corruzzione di memoria o a perdita di memoria durante u processu di un schedariu mp4 apposta. Una terminazione d'urgenza di un prucessu di travagliu hè citatu com'è una cunsiguenza, ma altri manifestazioni ùn sò micca esclusi, cum'è l'urganizazione di l'esekzione di codice in u servitore.

Hè nutate chì una vulnerabilità simili hè stata riparata in u modulu ngx_http_mp4_module in 2012. Inoltre, F5 hà riportatu una vulnerabilità simili (CVE-2022-41743) in u pruduttu NGINX Plus, chì affetta u modulu ngx_http_hls_module, chì furnisce supportu per u protocolu HLS (Apple HTTP Live Streaming).

In più di eliminà e vulnerabilità, nginx 1.23.2 prupone i seguenti cambiamenti:

  • Aghjunghje supportu per e variabili "$proxy_protocol_tlv_*", chì cuntenenu i valori di i campi TLV (Type-Length-Value) chì appariscenu in u protocolu Type-Length-Value PROXY v2.
  • Furnitu a rotazione automatica di e chjave di criptografia per i biglietti di sessione TLS, aduprate quandu si usa a memoria spartuta in a direttiva ssl_session_cache.
  • U nivellu di logging per l'errori ligati à i tipi di registru SSL incorrectu hè statu riduciutu da u livellu criticu à u nivellu informativu.
  • U nivellu di logu per i missaghji nantu à l'incapacità di assignà memoria per una nova sessione hè stata cambiata da l'alerta à l'avvistà è hè limitata à l'emissione di una entrata per seconda.
  • In a piattaforma Windows, l'assemblea cù OpenSSL 3.0 hè stata stabilita.
  • Riflessione mejorata di l'errori di protokollu PROXY in u log.
  • Fixed un prublema induve u timeout specificatu in a direttiva "ssl_session_timeout" ùn hà micca travagliatu quandu si usa TLSv1.3 basatu in OpenSSL o BoringSSL.

Source: opennet.ru

Add a comment