nginx 1.26.3 è 1.27.4 aghjurnamenti per riparà a vulnerabilità TLS

U ramu principalu di nginx 1.27.4 hè statu liberatu, in u quale sò sviluppati novi funziunalità, è ancu u ramu stabile parallelu di nginx 1.26.3, chì cuntene solu cambiamenti in relazione à l'eliminazione di errori serii è vulnerabili. L'aghjurnamenti riparanu una vulnerabilità (CVE-2025-23419) chì permette di passà a verificazione di i certificati TLS di u cliente.

A vulnerabilità hè causata da una mancanza di validazione adatta quandu si gestiscenu host virtuali ligati à un unicu indirizzu IP è numeru di portu, è selezziunati durante l'accessu HTTPS basatu annantu à u nome di duminiu specificatu cù l'estensione SNI TLS. In tali cunfigurazioni, un attaccante puderia riutilizà una sessione TLS in u cuntestu di un host virtuale differente per bypassà l'autenticazione cù u certificatu TLS di u cliente. U prublema si manifesta in cunfigurazioni chì supportanu a ripresa di a sessione TLS cù un "bigliettu di sessione TLS" o chì utilizanu una cache di sessione TLS in i paràmetri. servitore per difettu, chì usa l'autentificazione via certificati TLS di u cliente. A vulnerabilità hè stata presente dapoi a versione nginx 1.11.4 quandu hè stata custruita cù OpenSSL è abilitava u protocolu TLSv1.3.

Cambiamenti chì ùn sò micca di sicurità:

  • Capacità aghjunte per riduce u cunsumu di risorse è a carica di CPU quandu si usa TLS in cunfigurazioni cù un gran numaru di blocchi di servitore è locu. I cambiamenti aghjunti permettenu, invece di creà un cuntestu SSL separatu (SSL_CTX in OpenSSL) per ogni bloccu di cunfigurazione, per utilizà u cuntestu SSL esistente da u bloccu parent.
  • Prublemi risolti cù u caricamentu longu di i fugliali di cunfigurazione per via di l'analisi ripetuta di u listessu inseme Certificati TLS, chjave è liste di autorità di certificazione. I ricarichi di cunfigurazione sò stati accelerati riutilizendu l'uggetti TLS invariati, cum'è certificati, chjave è CRL. A direttiva "ssl_object_cache_inheritable" hè stata aghjunta per disattivà l'eredità di l'uggetti durante l'aghjurnamenti di cunfigurazione.
  • Aggiunta cache per i certificati è e chjave caricate cù variàbili in direttive (per esempiu "ssl_certificate /etc/ssl/$ssl_server_name.crt"). E direttive "ssl_certificate_cache", "proxy_ssl_certificate_cache", "grpc_ssl_certificate_cache" è "uwsgi_ssl_certificate_cache" sò state aghjunte per gestisce a cache. I direttivi specificati permettenu di cunfigurà a dimensione massima di cache, u periodu di validità di i registri, è u tempu per a pulizia di i registri inutilizati. Per esempiu: "ssl_certificate_cache max=1000 inactive=20s valid=1m;".
  • Aggiunta a direttiva "keepalive_min_timeout", chì definisce u timeout durante u quale nginx ùn chjuderà a cunnessione di mantene a vita cù u cliente.
  • U prublema cù l'apparizione di i missaghji di log "filtru gzip hà fiascatu à utilizà a memoria preallocata" quandu custruisce cù a biblioteca zlib-ng hè stata risolta.
  • Fixatu un prublema cù a custruzione di a biblioteca libatomica quandu si usa l'opzione di creazione "--with-libatomic=DIR"
  • Fixed un bug chì facia impussibule di stabilisce una cunnessione via u protocolu QUIC quandu si usa 0-RTT.
  • Assicuratevi chì e richieste di negoziazione di a versione QUIC da i clienti sò ignorate.
  • I prublemi risolti cù a custruzzione nantu à Solaris 10 cù u modulu ngx_http_v3_module.
  • L'errori in l'implementazione HTTP/3 sò stati corretti.

Source: opennet.ru

Cumprate un hosting affidabile per i siti cù prutezzione DDoS, servitori VPS VDS 🔥 Cumprate un hosting di siti web affidabile cù prutezzione DDoS, servitori VPS VDS | ProHoster