Bylo představeno první vydání nové hlavní větve nginx 1.21.0, v rámci kterého bude pokračovat vývoj nových funkcí. Paralelně s podporovanou stabilní větví 1.20.1 byla zároveň připravena opravná verze, která pouze zavádí změny související s odstraňováním závažných chyb a zranitelností. V příštím roce se na základě hlavní větve 1.21.x vytvoří stabilní větev 1.22.
Nové verze opravují zranitelnost (CVE-2021-23017) v kódu pro překlad názvů hostitelů v DNS, která by mohla vést ke zhroucení nebo potenciálnímu spuštění kódu útočníka. Problém se projevuje ve zpracování určitých odpovědí serveru DNS, což má za následek přetečení vyrovnávací paměti o jeden bajt. Chyba zabezpečení se objeví pouze v případě, že je povolena v nastavení DNS resolveru pomocí direktivy „resolver“. Aby mohl útočník provést útok, musí být schopen podvrhnout pakety UDP ze serveru DNS nebo získat kontrolu nad serverem DNS. Chyba zabezpečení se objevila od vydání nginx 0.6.18. K vyřešení problému ve starších verzích lze použít opravu.
Změny nesouvisející se zabezpečením v nginx 1.21.0:
- Podpora proměnných byla přidána do direktiv "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" a "uwsgi_ssl_certificate_certificate".
- Mail proxy modul přidal podporu pro „pipelining“ pro odesílání více POP3 nebo IMAP požadavků v jednom spojení a také přidal novou direktivu „max_errors“, která definuje maximální počet chyb protokolu, po kterých bude spojení uzavřeno.
- Do streamového modulu byl přidán parametr „fastopen“, který umožňuje režim „TCP Fast Open“ pro poslechové zásuvky.
- Problémy s escapováním speciálních znaků při automatickém přesměrování přidáním lomítka na konec byly vyřešeny.
- Problém s uzavíráním připojení ke klientům při použití zřetězení SMTP byl vyřešen.
Zdroj: opennet.ru