ProHoster > Blog > Internetnachrichten > Nginx 1.22.1 und 1.23.2 Update mit behobenen Schwachstellen

Nginx 1.22.1 und 1.23.2 Update mit behobenen Schwachstellen

Der Hauptzweig von Nginx 1.23.2 wurde veröffentlicht, in dem die Entwicklung neuer Funktionen fortgesetzt wird, sowie die Veröffentlichung des parallel unterstützten stabilen Zweigs von Nginx 1.22.1, der nur Änderungen im Zusammenhang mit der Beseitigung schwerwiegender Fehler und enthält Schwachstellen.

Die neuen Versionen beseitigen zwei Schwachstellen (CVE-2022-41741, CVE-2022-41742) im Modul ngx_http_mp4_module, das zum Organisieren des Streamings von Dateien im H.264/AAC-Format verwendet wird. Die Sicherheitslücken können bei der Verarbeitung einer speziell gestalteten MP4-Datei zu Speicherbeschädigungen oder Speicherverlusten führen. Als Konsequenz wird ein Notabbruch eines Arbeitsprozesses erwähnt, andere Erscheinungsformen sind jedoch nicht ausgeschlossen, etwa die Organisation der Codeausführung auf dem Server.

Bemerkenswert ist, dass eine ähnliche Schwachstelle bereits 4 im Modul ngx_http_mp2012_module behoben wurde. Darüber hinaus meldete F5 eine ähnliche Schwachstelle (CVE-2022-41743) im Produkt NGINX Plus, die das Modul ngx_http_hls_module betrifft, das Unterstützung für das HLS-Protokoll (Apple HTTP Live Streaming) bietet.

Neben der Beseitigung von Schwachstellen werden in Nginx 1.23.2 folgende Änderungen vorgeschlagen:

  • Unterstützung für die Variablen „$proxy_protocol_tlv_*“ hinzugefügt, die die Werte der TLV-Felder (Type-Length-Value) enthalten, die im Type-Length-Value PROXY v2-Protokoll erscheinen.
  • Automatische Rotation von Verschlüsselungsschlüsseln für TLS-Sitzungstickets bereitgestellt, die bei Verwendung von Shared Memory in der ssl_session_cache-Direktive verwendet werden.
  • Die Protokollierungsstufe für Fehler im Zusammenhang mit falschen SSL-Eintragstypen wurde von der kritischen auf die informative Stufe gesenkt.
  • Die Protokollierungsstufe für Meldungen über die Unfähigkeit, Speicher für eine neue Sitzung zuzuweisen, wurde von „Alarm“ in „Warnung“ geändert und ist auf die Ausgabe eines Eintrags pro Sekunde beschränkt.
  • Auf der Windows-Plattform hat sich die Assembly mit OpenSSL 3.0 etabliert.
  • Verbesserte Darstellung von PROXY-Protokollfehlern im Protokoll.
  • Es wurde ein Problem behoben, bei dem das in der „ssl_session_timeout“-Direktive angegebene Timeout nicht funktionierte, wenn TLSv1.3 basierend auf OpenSSL oder BoringSSL verwendet wurde.

Source: opennet.ru

Kommentar hinzufügen