ProHoster > Blog > noticias de internet > Actualización de Nginx 1.22.1 y 1.23.2 con vulnerabilidades solucionadas

Actualización de Nginx 1.22.1 y 1.23.2 con vulnerabilidades solucionadas

Se ha lanzado la rama principal de nginx 1.23.2, dentro de la cual continúa el desarrollo de nuevas características, así como el lanzamiento de la rama estable con soporte paralelo de nginx 1.22.1, que solo incluye cambios relacionados con la eliminación de errores graves y vulnerabilidades.

Las nuevas versiones eliminan dos vulnerabilidades (CVE-2022-41741, CVE-2022-41742) en el módulo ngx_http_mp4_module, utilizado para organizar la transmisión de archivos en formato H.264/AAC. Las vulnerabilidades podrían provocar daños o pérdidas de memoria al procesar un archivo mp4 especialmente diseñado. Como consecuencia se menciona la interrupción urgente de un proceso de trabajo, pero no se excluyen otras manifestaciones, como por ejemplo la organización de la ejecución del código en el servidor.

Cabe destacar que ya se solucionó una vulnerabilidad similar en el módulo ngx_http_mp4_module en 2012. Además, F5 informó una vulnerabilidad similar (CVE-2022-41743) en el producto NGINX Plus, que afecta al módulo ngx_http_hls_module, que brinda soporte para el protocolo HLS (Apple HTTP Live Streaming).

Además de eliminar vulnerabilidades, se proponen los siguientes cambios en nginx 1.23.2:

  • Se agregó soporte para las variables “$proxy_protocol_tlv_*”, que contienen los valores de los campos TLV (Tipo-Longitud-Valor) que aparecen en el protocolo Tipo-Longitud-Valor PROXY v2.
  • Se proporcionó rotación automática de claves de cifrado para tickets de sesión TLS, que se utilizan cuando se usa memoria compartida en la directiva ssl_session_cache.
  • El nivel de registro de errores relacionados con tipos de registros SSL incorrectos se ha reducido del nivel crítico al nivel informativo.
  • El nivel de registro de mensajes sobre la imposibilidad de asignar memoria para una nueva sesión se ha cambiado de alerta a advertencia y se limita a generar una entrada por segundo.
  • En la plataforma Windows se ha instalado el montaje con OpenSSL 3.0.
  • Se mejoró el reflejo de los errores del protocolo PROXY en el registro.
  • Se solucionó un problema por el cual el tiempo de espera especificado en la directiva "ssl_session_timeout" no funcionaba cuando se usaba TLSv1.3 basado en OpenSSL o BoringSSL.

Fuente: opennet.ru

Añadir un comentario