Den første udgivelse af den nye hovedgren af nginx 1.21.0 er blevet præsenteret, inden for hvilken udviklingen af nye funktioner vil fortsætte. Samtidig blev der udarbejdet en korrigerende udgivelse parallelt med den understøttede stabile gren 1.20.1, som kun introducerer ændringer relateret til eliminering af alvorlige fejl og sårbarheder. Næste år vil der med udgangspunkt i hovedgrenen 1.21.x blive dannet en stabil gren 1.22.
De nye versioner løser en sårbarhed (CVE-2021-23017) i koden til løsning af værtsnavne i DNS, som kan føre til et nedbrud eller potentielt eksekverende angriberkode. Problemet viser sig i behandlingen af visse DNS-serversvar, hvilket resulterer i et bufferoverløb på én byte. Sårbarheden vises kun, når den er aktiveret i DNS-resolver-indstillingerne ved hjælp af "resolver"-direktivet. For at udføre et angreb skal en angriber være i stand til at spoofe UDP-pakker fra DNS-serveren eller få kontrol over DNS-serveren. Sårbarheden har vist sig siden udgivelsen af nginx 0.6.18. En patch kan bruges til at løse problemet i ældre udgivelser.
Ikke-sikkerhedsmæssige ændringer i nginx 1.21.0:
- Variabel support er blevet tilføjet til direktiverne "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" og "uwsgi_ssl_certificate_key".
- Mail proxy-modulet har tilføjet understøttelse af "pipelining" til afsendelse af flere POP3- eller IMAP-anmodninger i en enkelt forbindelse, og tilføjet også et nyt direktiv "max_errors", som definerer det maksimale antal protokolfejl, hvorefter forbindelsen lukkes.
- Tilføjet en "fastopen"-parameter til stream-modulet, der aktiverer "TCP Fast Open"-tilstand for lyttestik.
- Problemer med at undslippe specialtegn under automatiske omdirigeringer ved at tilføje en skråstreg i slutningen er blevet løst.
- Problemet med at lukke forbindelser til klienter ved brug af SMTP-pipelining er blevet løst.
Kilde: opennet.ru