La ĉefa branĉo de nginx 1.23.2 estis liberigita, ene de kiu la disvolviĝo de novaj funkcioj daŭras, same kiel la liberigo de la paralela subtenata stabila branĉo de nginx 1.22.1, kiu inkluzivas nur ŝanĝojn ligitajn al la forigo de gravaj eraroj kaj vundeblecoj.
La novaj versioj forigas du vundeblecojn (CVE-2022-41741, CVE-2022-41742) en la modulo ngx_http_mp4_module, uzata por organizi fluadon de dosieroj en la formato H.264/AAC. La vundeblecoj povus konduki al memorkorupto aŭ memorfuĝo dum prilaborado de speciale kreita mp4-dosiero. Urĝa fino de laborprocezo estas menciita kiel konsekvenco, sed aliaj manifestiĝoj ne estas ekskluditaj, kiel la organizo de koda ekzekuto sur la servilo.
Estas rimarkinde, ke simila vundebleco jam estis riparita en la modulo ngx_http_mp4_module en 2012. Krome, F5 raportis similan vundeblecon (CVE-2022-41743) en la produkto NGINX Plus, influante la modulon ngx_http_hls_module, kiu provizas subtenon por la protokolo HLS (Apple HTTP Live Streaming).
Krom forigi vundeblecojn, la sekvaj ŝanĝoj estas proponitaj en nginx 1.23.2:
- Aldonita subteno por la variabloj "$proxy_protocol_tlv_*", kiuj enhavas la valorojn de la kampoj TLV (Type-Length-Value) kiuj aperas en la protokolo Type-Length-Value PROXY v2.
- Provizita aŭtomata rotacio de ĉifradaj ŝlosiloj por TLS-sesiobiletoj, uzataj dum uzado de komuna memoro en la direktivo ssl_session_cache.
- La registra nivelo por eraroj rilataj al malĝustaj SSL-rekordaj tipoj estis malaltigita de kritika al informa nivelo.
- La registra nivelo por mesaĝoj pri la malkapablo asigni memoron por nova sesio estis ŝanĝita de atentigo al averto kaj estas limigita al eligo de unu eniro por sekundo.
- Sur la Vindoza platformo, kunigo kun OpenSSL 3.0 estis establita.
- Plibonigita spegulbildo de PROXY-protokolo-eraroj en la protokolo.
- Riparis problemon, kie la tempo-tempo specifita en la direktivo "ssl_session_timeout" ne funkciis kiam oni uzas TLSv1.3 bazitan sur OpenSSL aŭ BoringSSL.
fonto: opennet.ru