ProHoster > Blog > Internetnachrichten > Nginx 1.21.0- und Nginx 1.20.1-Versionen mit Schwachstellenbehebung

Nginx 1.21.0- und Nginx 1.20.1-Versionen mit Schwachstellenbehebung

Das erste Release des neuen Hauptzweigs von Nginx 1.21.0 wurde vorgestellt, innerhalb dessen die Entwicklung neuer Funktionen fortgesetzt wird. Gleichzeitig wurde parallel zum unterstützten Stable Branch 1.20.1 eine Korrekturversion vorbereitet, die lediglich Änderungen im Zusammenhang mit der Beseitigung schwerwiegender Fehler und Schwachstellen einführt. Nächstes Jahr wird basierend auf dem Hauptzweig 1.21.x ein stabiler Zweig 1.22 gebildet.

Die neuen Versionen beheben eine Schwachstelle (CVE-2021-23017) im Code zur Auflösung von Hostnamen im DNS, die zu einem Absturz oder möglicherweise zur Ausführung von Angreifercode führen könnte. Das Problem äußert sich in der Verarbeitung bestimmter DNS-Server-Antworten, was zu einem Pufferüberlauf von einem Byte führt. Die Sicherheitslücke tritt nur auf, wenn sie in den DNS-Resolver-Einstellungen mithilfe der „resolver“-Direktive aktiviert wird. Um einen Angriff durchzuführen, muss ein Angreifer in der Lage sein, UDP-Pakete vom DNS-Server zu fälschen oder die Kontrolle über den DNS-Server zu erlangen. Die Sicherheitslücke ist seit der Veröffentlichung von Nginx 0.6.18 aufgetreten. In älteren Versionen kann das Problem mit einem Patch behoben werden.

Nicht sicherheitsrelevante Änderungen in Nginx 1.21.0:

  • Den Direktiven „proxy_ssl_certificate“, „proxy_ssl_certificate_key“, „grpc_ssl_certificate“, „grpc_ssl_certificate_key“, „uwsgi_ssl_certificate“ und „uwsgi_ssl_certificate_key“ wurde Variablenunterstützung hinzugefügt.
  • Das Mail-Proxy-Modul hat Unterstützung für „Pipelining“ zum Senden mehrerer POP3- oder IMAP-Anfragen in einer einzigen Verbindung hinzugefügt und außerdem eine neue Direktive „max_errors“ hinzugefügt, die die maximale Anzahl von Protokollfehlern definiert, nach denen die Verbindung geschlossen wird.
  • Dem Stream-Modul wurde ein „Fastopen“-Parameter hinzugefügt, der den „TCP Fast Open“-Modus für das Abhören von Sockets aktiviert.
  • Probleme mit dem Escapezeichen von Sonderzeichen bei automatischen Weiterleitungen durch Hinzufügen eines Schrägstrichs am Ende wurden behoben.
  • Das Problem beim Schließen von Verbindungen zu Clients bei Verwendung von SMTP-Pipelining wurde behoben.

Source: opennet.ru

Kommentar hinzufügen