Die erste Version des neuen Hauptzweigs nginx 1.21.0 wurde veröffentlicht, in der die Entwicklung neuer Funktionen fortgesetzt wird. Gleichzeitig wurde ein Korrektur-Release für den parallel unterstützten stabilen Zweig 1.20.1 vorbereitet, in dem lediglich Änderungen zur Behebung schwerwiegender Fehler und Sicherheitsanfälligkeiten vorgenommen werden. Im nächsten Jahr wird auf Basis des Hauptzweigs 1.21.x ein stabiler Zweig 1.22 gebildet.
In den neuen Versionen wurde die Sicherheitsanfälligkeit (CVE-2021-23017) im Code zur Namensauflösung von Hosts im DNS behoben, die zu einem Absturz oder potenziell zur Ausführung von Angreifer-Code führen kann. Das Problem tritt bei der Verarbeitung bestimmter Antworten von DNS-Servern auf, die zu einem einbyteigen Pufferüberlauf führen. Die Sicherheitsanfälligkeit tritt nur auf, wenn die Einstellungen für den DNS-Resolver mit der Direktive „resolver“ aktiviert sind. Um einen Angriff durchzuführen, muss der Angreifer in der Lage sein, UDP-Pakete vom DNS-Server zu fälschen oder die Kontrolle über den DNS-Server zu erlangen. Die Sicherheitsanfälligkeit besteht seit der Ausgabe von nginx 0.6.18. Um das Problem in den alten Versionen zu beheben, kann ein Patch verwendet werden.
Änderungen in nginx 1.21.0, die nicht mit der Sicherheit in Verbindung stehen:
- In den Direktiven „proxy_ssl_certificate“, „proxy_ssl_certificate_key“, „grpc_ssl_certificate“, „grpc_ssl_certificate_key“, „uwsgi_ssl_certificate“ und „uwsgi_ssl_certificate_key“ wurde die Unterstützung für Variablen hinzugefügt.
- Im Mail-Proxy-Modul wurde die Unterstützung für „Pipelining“ hinzugefügt, um mehrere POP3- oder IMAP-Anfragen über eine einzige Verbindung zu übertragen. Darüber hinaus wurde die neue Direktive „max_errors“ eingeführt, die die maximale Anzahl von Protokollfehlern definiert, nach denen die Verbindung geschlossen wird.
- Im Stream-Modul wurde der Parameter „fastopen“ hinzugefügt, der den Modus „TCP Fast Open“ für wartende Sockets aktiviert.
- Probleme mit der Maskierung von Sonderzeichen bei automatischen Weiterleitungen, zu denen ein Schrägstrich am Ende hinzugefügt wurde, wurden behoben.
- Ein Problem mit dem Schließen von Verbindungen zu Clients beim Einsatz von SMTP-Pipelining wurde gelöst.
Quelle: opennet.ru
