Byla vydána hlavní větev nginx 1.23.2, v rámci které pokračuje vývoj nových funkcí a také vydání paralelně podporované stabilní větve nginx 1.22.1, která obsahuje pouze změny související s odstraněním závažných chyb a zranitelnosti.
Nové verze odstraňují dvě zranitelnosti (CVE-2022-41741, CVE-2022-41742) v modulu ngx_http_mp4_module, který se používá k organizaci streamování ze souborů ve formátu H.264/AAC. Tyto chyby zabezpečení mohou vést k poškození paměti nebo úniku paměti při zpracování speciálně vytvořeného souboru mp4. Jako důsledek je zmíněno nouzové ukončení pracovního procesu, ale nejsou vyloučeny další projevy, jako je organizace spouštění kódu na serveru.
Je pozoruhodné, že podobná chyba zabezpečení již byla opravena v modulu ngx_http_mp4_module v roce 2012. Kromě toho F5 ohlásil podobnou zranitelnost (CVE-2022-41743) v produktu NGINX Plus, která ovlivňuje modul ngx_http_hls_module, který poskytuje podporu protokolu HLS (Apple HTTP Live Streaming).
Kromě odstranění zranitelností jsou v nginx 1.23.2 navrženy následující změny:
- Přidána podpora pro proměnné „$proxy_protocol_tlv_*“, které obsahují hodnoty polí TLV (Type-Length-Value), které se objevují v protokolu Type-Length-Value PROXY v2.
- Poskytováno automatické střídání šifrovacích klíčů pro lístky relace TLS, používané při použití sdílené paměti v direktivě ssl_session_cache.
- Úroveň protokolování chyb souvisejících s nesprávnými typy záznamů SSL byla snížena z kritické na informační úroveň.
- Úroveň protokolování zpráv o nemožnosti alokovat paměť pro novou relaci byla změněna z výstrahy na výstrahu a je omezena na výstup jedné položky za sekundu.
- Na platformě Windows byla zavedena montáž s OpenSSL 3.0.
- Vylepšený odraz chyb protokolu PROXY v protokolu.
- Opraven problém, kdy časový limit zadaný v direktivě „ssl_session_timeout“ nefungoval při použití TLSv1.3 založeného na OpenSSL nebo BoringSSL.
Zdroj: opennet.ru