Update von nginx 1.22.1 und 1.23.2 mit Behebung von Sicherheitsanfälligkeiten.

Die Hauptversion nginx 1.23.2 wurde veröffentlicht, in der die Entwicklung neuer Funktionen fortgesetzt wird. Gleichzeitig wird die stabil unterstützte Version nginx 1.22.1 veröffentlicht, in der nur Änderungen zur Behebung schwerwiegender Fehler und Sicherheitsanfälligkeiten vorgenommen werden.

In den neuen Versionen wurden zwei Sicherheitsanfälligkeiten (CVE-2022-41741, CVE-2022-41742) im Modul ngx_http_mp4_module behoben, welches für das Streaming von Dateien im H.264/AAC-Format verwendet wird. Diese Sicherheitsanfälligkeiten können zu Speicherbeschädigungen oder zu einem Speicherleck führen, wenn eine speziell gestaltete mp4-Datei verarbeitet wird. Zu den möglichen Folgen zählen ein unerwarteter Prozessabbruch, aber auch andere Auswirkungen, wie die Ausführung von Code. Server.

Bemerkenswert ist, dass eine ähnliche Sicherheitsanfälligkeit im Modul ngx_http_mp4_module bereits 2012 behoben wurde. Zudem hat das Unternehmen F5 von einer ähnlichen Sicherheitsanfälligkeit (CVE-2022-41743) im Produkt NGINX Plus berichtet, die das Modul ngx_http_hls_module betrifft, welches das HLS-Protokoll (Apple HTTP Live Streaming) unterstützt.

Neben der Behebung von Sicherheitsanfälligkeiten wurden in nginx 1.23.2 folgende Änderungen vorgenommen:

  • Unterstützung für die Variablen „$proxy_protocol_tlv_*“ hinzugefügt, in denen die Werte der TLV (Type-Length-Value)-Felder des PROXY v2-Protokolls aufgezeichnet werden.
  • Automatische Rotation der Verschlüsselungsschlüssel für TLS-Session-Tickets sichergestellt, die bei der Verwendung von gemeinsam genutztem Speicher in der Direktive ssl_session_cache zum Einsatz kommt.
  • Das Protokollierungsniveau für Fehler im Zusammenhang mit ungültigem Aufzeichnungstyp SSL, wurde von kritisch auf informativ herabgesetzt.
  • Das Protokollierungsniveau für Meldungen über unzureichenden Speicher für eine neue Sitzung wurde von alert auf warn geändert und auf eine Ausgabe pro Sekunde begrenzt.
  • Für die Windows-Plattform wurde mit OpenSSL 3.0 eine Build-Umgebung eingerichtet.
  • Die Protokollierung von PROXY-Protokollfehlern wurde eingerichtet.
  • Ein Problem behoben, bei dem der in der Direktive „ssl_session_timeout“ angegebene Timeout bei Verwendung von TLSv1.3 basierend auf OpenSSL oder BoringSSL nicht funktionierte.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster