Κυκλοφόρησε ο κύριος κλάδος του nginx 1.27.1, εντός του οποίου συνεχίζεται η ανάπτυξη νέων χαρακτηριστικών, καθώς και η κυκλοφορία του παράλληλου υποστηριζόμενου σταθερού κλάδου του nginx 1.22.1, ο οποίος περιλαμβάνει μόνο αλλαγές που σχετίζονται με την εξάλειψη σοβαρών σφαλμάτων και τρωτά σημεία. Οι ενημερώσεις διορθώνουν μια ευπάθεια (CVE-2024-7347) στη λειτουργική μονάδα ngx_http_mp4_module, η οποία οδηγεί σε μη φυσιολογικό τερματισμό της ροής εργασίας κατά την επεξεργασία ενός ειδικά διαμορφωμένου αρχείου MP4. Το πρόβλημα εμφανίζεται ξεκινώντας από την έκδοση 1.5.13 κατά τη δημιουργία του nginx με τη λειτουργική μονάδα ngx_http_mp4_module (δεν έχει κατασκευαστεί από προεπιλογή) και χρησιμοποιώντας την οδηγία mp4 στις ρυθμίσεις. Για να διορθώσετε την ευπάθεια σε παλαιότερες εκδόσεις, μπορείτε να χρησιμοποιήσετε μια ενημέρωση κώδικα.
Εκτός από την ευπάθεια, η έκδοση nginx 1.27.1 διόρθωσε επίσης σφάλματα στην υλοποίηση του πρωτοκόλλου HTTP/3, μετακίνησε το πρόγραμμα χειρισμού στη μονάδα ροής στην κατηγορία των προαιρετικών και έλυσε το πρόβλημα με την παράβλεψη νέων συνδέσεων HTTP/2 όταν οι διαδικασίες των εργαζομένων περατώνονται ομαλά.
Πηγή: opennet.ru
