La unua eldono de la nova ĉefa branĉo de nginx 1.21.0 estis prezentita, ene de kiu la disvolviĝo de novaj funkcioj daŭros. Samtempe, korekta eldono estis preparita paralele kun la subtenata stabila branĉo 1.20.1, kiu nur enkondukas ŝanĝojn rilatajn al la forigo de gravaj eraroj kaj vundeblecoj. Venontjare, surbaze de la ĉefa branĉo 1.21.x, formiĝos stabila branĉo 1.22.
La novaj versioj riparas vundeblecon (CVE-2021-23017) en la kodo por solvi gastigajn nomojn en DNS, kio povus kaŭzi kraŝon aŭ eble ekzekuti atakan kodon. La problemo manifestiĝas en la prilaborado de certaj DNS-servilaj respondoj rezultigantaj unu-bajtan bufron superfluon. La vundebleco aperas nur kiam ĝi estas ebligita en la agordoj de DNS-solvilo uzante la direktivon "solvilo". Por fari atakon, atakanto devas povi falsigi UDP-pakojn de la DNS-servilo aŭ akiri kontrolon de la DNS-servilo. La vundebleco aperis ekde la liberigo de nginx 0.6.18. Flikaĵo povas esti uzata por solvi la problemon en pli malnovaj eldonoj.
Ne-sekurecaj ŝanĝoj en nginx 1.21.0:
- Varia subteno estis aldonita al la direktivoj "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" kaj "uwsgi_ssl_certificate".
- La poŝta prokura modulo aldonis subtenon por "pipelining" por sendi plurajn POP3 aŭ IMAP-petojn en unu konekto, kaj ankaŭ aldonis novan direktivon "max_errors", kiu difinas la maksimuman nombron da protokolo-eraroj post kiuj la konekto estos fermita.
- Aldonis "fastopen" parametron al la fluomodulo, ebligante "TCP Fast Open" reĝimon por aŭskulti ingojn.
- Problemoj pri eskapado de specialaj signoj dum aŭtomataj alidirektiloj per aldono de oblikvo ĉe la fino estis solvitaj.
- La problemo pri fermado de konektoj al klientoj dum uzado de SMTP-dukto estis solvita.
fonto: opennet.ru