Se ha presentado el primer lanzamiento de la nueva rama principal de nginx 1.21.0, dentro de la cual se continuará con el desarrollo de nuevas funcionalidades. Al mismo tiempo, se preparó una versión correctiva en paralelo con la rama estable soportada 1.20.1, que solo introduce cambios relacionados con la eliminación de errores y vulnerabilidades graves. El próximo año, basada en la rama principal 1.21.x, se formará una rama estable 1.22.
Las nuevas versiones corrigen una vulnerabilidad (CVE-2021-23017) en el código para resolver nombres de host en DNS, lo que podría provocar un bloqueo o la posible ejecución de código atacante. El problema se manifiesta en el procesamiento de determinadas respuestas del servidor DNS, lo que provoca un desbordamiento del búfer de un byte. La vulnerabilidad solo aparece cuando está habilitada en la configuración de resolución de DNS mediante la directiva "resolver". Para llevar a cabo un ataque, un atacante debe poder falsificar paquetes UDP del servidor DNS o hacerse con el control del servidor DNS. La vulnerabilidad apareció desde el lanzamiento de nginx 0.6.18. Se puede utilizar un parche para solucionar el problema en versiones anteriores.
Cambios no relacionados con la seguridad en nginx 1.21.0:
- Se agregó soporte de variables a las directivas "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" y "uwsgi_ssl_certificate_key".
- El módulo de proxy de correo agregó soporte para "pipelining" para enviar múltiples solicitudes POP3 o IMAP en una conexión, y también agregó una nueva directiva "max_errors", que define el número máximo de errores de protocolo después de los cuales se cerrará la conexión.
- Se agregó un parámetro "fastopen" al módulo de transmisión, habilitando el modo "TCP Fast Open" para los sockets de escucha.
- Se han resuelto los problemas con el escape de caracteres especiales durante las redirecciones automáticas agregando una barra al final.
- Se ha resuelto el problema con el cierre de conexiones a clientes cuando se utiliza la canalización SMTP.
Fuente: opennet.ru