ProHoster > Blog > ειδήσεις στο διαδίκτυο > Εκδόσεις Nginx 1.21.0 και nginx 1.20.1 με επιδιόρθωση ευπάθειας

Εκδόσεις Nginx 1.21.0 και nginx 1.20.1 με επιδιόρθωση ευπάθειας

Παρουσιάστηκε η πρώτη κυκλοφορία του νέου βασικού κλάδου του nginx 1.21.0, εντός του οποίου θα συνεχιστεί η ανάπτυξη νέων χαρακτηριστικών. Ταυτόχρονα, ετοιμάστηκε μια διορθωτική έκδοση παράλληλα με τον υποστηριζόμενο σταθερό κλάδο 1.20.1, ο οποίος εισάγει μόνο αλλαγές που σχετίζονται με την εξάλειψη σοβαρών σφαλμάτων και τρωτών σημείων. Το επόμενο έτος, με βάση τον κύριο κλάδο 1.21.x, θα σχηματιστεί ένας σταθερός κλάδος 1.22.

Οι νέες εκδόσεις διορθώνουν μια ευπάθεια (CVE-2021-23017) στον κώδικα για την επίλυση ονομάτων κεντρικών υπολογιστών στο DNS, η οποία θα μπορούσε να οδηγήσει σε σφάλμα ή σε ενδεχόμενη εκτέλεση κώδικα εισβολέα. Το πρόβλημα εκδηλώνεται με την επεξεργασία ορισμένων αποκρίσεων διακομιστή DNS με αποτέλεσμα υπερχείλιση buffer ενός byte. Η ευπάθεια εμφανίζεται μόνο όταν είναι ενεργοποιημένη στις ρυθμίσεις του προγράμματος επίλυσης DNS χρησιμοποιώντας την οδηγία "resolver". Για να πραγματοποιήσει μια επίθεση, ένας εισβολέας πρέπει να μπορεί να πλαστογραφήσει πακέτα UDP από τον διακομιστή DNS ή να αποκτήσει τον έλεγχο του διακομιστή DNS. Η ευπάθεια εμφανίστηκε από την κυκλοφορία του nginx 0.6.18. Μπορεί να χρησιμοποιηθεί μια ενημερωμένη έκδοση κώδικα για την επίλυση του προβλήματος σε παλαιότερες εκδόσεις.

Αλλαγές που δεν αφορούν την ασφάλεια στο nginx 1.21.0:

  • Η υποστήριξη μεταβλητών έχει προστεθεί στις οδηγίες "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" και "uwsgi_ssific_keyt".
  • Η μονάδα διακομιστή μεσολάβησης αλληλογραφίας έχει προσθέσει υποστήριξη για "σωλήνωση" για την αποστολή πολλαπλών αιτημάτων POP3 ή IMAP σε μία μόνο σύνδεση και πρόσθεσε επίσης μια νέα οδηγία "max_errors", η οποία ορίζει τον μέγιστο αριθμό σφαλμάτων πρωτοκόλλου μετά τα οποία η σύνδεση θα κλείσει.
  • Προστέθηκε μια παράμετρος "fastopen" στη μονάδα ροής, ενεργοποιώντας τη λειτουργία "TCP Fast Open" για υποδοχές ακρόασης.
  • Τα προβλήματα με τη διαφυγή ειδικών χαρακτήρων κατά τις αυτόματες ανακατευθύνσεις με την προσθήκη κάθετου στο τέλος έχουν επιλυθεί.
  • Το πρόβλημα με το κλείσιμο των συνδέσεων σε πελάτες κατά τη χρήση της διοχέτευσης SMTP έχει επιλυθεί.

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο