Välja on antud nginx 1.23.2 põhiharu, mille raames jätkub uute funktsioonide väljatöötamine ning paralleelselt toetatud stabiilse nginx 1.22.1 haru väljalaskmine, mis sisaldab vaid muudatusi, mis on seotud tõsiste vigade kõrvaldamisega ja haavatavused.
Uued versioonid kõrvaldavad kaks turvaauku (CVE-2022-41741, CVE-2022-41742) moodulis ngx_http_mp4_module, mida kasutatakse H.264/AAC-vormingus failide voogesituse korraldamiseks. Spetsiaalselt koostatud mp4-faili töötlemisel võivad haavatavused põhjustada mälu rikkumist või mäluleket. Tagajärjena on mainitud tööprotsessi hädaolukorra lõpetamist, kuid välistatud pole ka muud ilmingud, näiteks koodi täitmise korraldamine serveris.
Tähelepanuväärne on, et sarnane haavatavus parandati juba moodulis ngx_http_mp4_module 2012. aastal. Lisaks teatas F5 sarnasest haavatavusest (CVE-2022-41743) tootes NGINX Plus, mis mõjutab moodulit ngx_http_hls_module, mis toetab HLS-i (Apple HTTP Live Streaming) protokolli.
Lisaks haavatavuste kõrvaldamisele pakutakse versioonis nginx 1.23.2 järgmisi muudatusi:
- Lisatud on tugi muutujatele "$proxy_protocol_tlv_*", mis sisaldavad TLV (tüüp-pikkus-väärtus) väljade väärtusi, mis kuvatakse protokollis Type-Length-Value PROXY v2.
- Pakub TLS-i seansipiletite krüpteerimisvõtmete automaatset pööramist, mida kasutatakse ühismälu kasutamisel direktiivis ssl_session_cache.
- Vale SSL-i kirjetüüpidega seotud vigade logimise tase on langetatud kriitiliselt teabetasemele.
- Uue seansi jaoks mälu eraldamise võimetuse kohta teadete logimise tase on muudetud hoiatusest hoiatuseks ja piirdub ühe kirje väljastamisega sekundis.
- Windowsi platvormil on OpenSSL 3.0-ga kokkupanek loodud.
- PROXY protokolli vigade parem kajastamine logis.
- Lahendatud on probleem, mille korral direktiivis "ssl_session_timeout" määratud ajalõpp ei töötanud OpenSSL-il või BoringSSL-il põhineva TLSv1.3 kasutamisel.
Allikas: opennet.ru