Mae datganiad cyntaf y brif gangen newydd o nginx 1.21.0 wedi'i gyflwyno, a bydd datblygiad nodweddion newydd yn parhau o fewn hynny. Ar yr un pryd, paratowyd datganiad cywiro ochr yn ochr â'r gangen sefydlog â chymorth 1.20.1, sydd ond yn cyflwyno newidiadau sy'n ymwneud â dileu gwallau a gwendidau difrifol. Y flwyddyn nesaf, yn seiliedig ar y brif gangen 1.21.x, bydd cangen sefydlog 1.22 yn cael ei ffurfio.
Mae'r fersiynau newydd yn trwsio bregusrwydd (CVE-2021-23017) yn y cod ar gyfer datrys enwau gwesteiwr yn DNS, a allai arwain at ddamwain neu o bosibl weithredu cod ymosodwr. Mae'r broblem yn amlygu ei hun wrth brosesu rhai ymatebion gweinydd DNS sy'n arwain at orlif byffer un-beit. Dim ond pan fydd wedi'i alluogi yn y gosodiadau datryswr DNS y mae'r bregusrwydd yn ymddangos gan ddefnyddio'r gyfarwyddeb “datryswr”. I gyflawni ymosodiad, rhaid i ymosodwr allu ffugio pecynnau CDU o'r gweinydd DNS neu ennill rheolaeth ar y gweinydd DNS. Mae'r bregusrwydd wedi ymddangos ers rhyddhau nginx 0.6.18. Gellir defnyddio clwt i ddatrys y broblem mewn datganiadau hŷn.
Newidiadau nad ydynt yn ymwneud â diogelwch nginx 1.21.0:
- Mae cefnogaeth amrywiol wedi'i hychwanegu at y cyfarwyddebau "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" ac "uwsgi_ssl_certificate_key".
- Mae'r modiwl post dirprwy wedi ychwanegu cefnogaeth ar gyfer “pibellau” ar gyfer anfon sawl cais POP3 neu IMAP mewn un cysylltiad, a hefyd wedi ychwanegu cyfarwyddeb newydd “max_errors”, sy'n diffinio'r nifer uchaf o wallau protocol ac ar ôl hynny bydd y cysylltiad yn cael ei gau.
- Ychwanegwyd paramedr "fastopen" i'r modiwl ffrwd, gan alluogi modd "TCP Fast Open" ar gyfer socedi gwrando.
- Mae problemau gyda dianc nodau arbennig yn ystod ailgyfeiriadau awtomatig trwy ychwanegu slaes ar y diwedd wedi'u datrys.
- Mae'r broblem gyda chau cysylltiadau i gleientiaid wrth ddefnyddio pibellau SMTP wedi'i datrys.
Ffynhonnell: opennet.ru