Hovedgrenen af nginx 1.23.2 er blevet frigivet, inden for hvilken udviklingen af nye funktioner fortsætter, samt udgivelsen af den parallelt understøttede stabile gren af nginx 1.22.1, som kun inkluderer ændringer relateret til eliminering af alvorlige fejl og sårbarheder.
De nye versioner eliminerer to sårbarheder (CVE-2022-41741, CVE-2022-41742) i ngx_http_mp4_module-modulet, der bruges til at organisere streaming fra filer i H.264/AAC-formatet. Sårbarhederne kan føre til hukommelseskorruption eller hukommelseslækage ved behandling af en speciallavet mp4-fil. En nødafbrydelse af en arbejdsproces nævnes som en konsekvens, men andre manifestationer er ikke udelukket, såsom organisering af kodeeksekvering på serveren.
Det er bemærkelsesværdigt, at en lignende sårbarhed allerede var rettet i ngx_http_mp4_module-modulet i 2012. Derudover rapporterede F5 en lignende sårbarhed (CVE-2022-41743) i NGINX Plus-produktet, hvilket påvirker ngx_http_hls_module-modulet, som understøtter HLS-protokollen (Apple HTTP Live Streaming).
Ud over at eliminere sårbarheder foreslås følgende ændringer i nginx 1.23.2:
- Tilføjet understøttelse af "$proxy_protocol_tlv_*" variablerne, som indeholder værdierne af TLV-felterne (Type-Length-Value), der vises i Type-Length-Value PROXY v2-protokollen.
- Tilvejebragt automatisk rotation af krypteringsnøgler til TLS-sessionsbilletter, brugt ved brug af delt hukommelse i ssl_session_cache-direktivet.
- Logningsniveauet for fejl relateret til forkerte SSL-posttyper er blevet sænket fra kritisk til informationsniveau.
- Logningsniveauet for meddelelser om manglende evne til at allokere hukommelse til en ny session er blevet ændret fra alarm til advarsel og er begrænset til at udsende én post pr. sekund.
- På Windows-platformen er der etableret montage med OpenSSL 3.0.
- Forbedret afspejling af PROXY-protokolfejl i loggen.
- Rettede et problem, hvor den timeout, der er angivet i "ssl_session_timeout"-direktivet, ikke virkede ved brug af TLSv1.3 baseret på OpenSSL eller BoringSSL.
Kilde: opennet.ru