Esitletud on nginx 1.21.0 uue põhiharu esimene väljalase, mille raames jätkub uute funktsioonide arendamine. Samal ajal koostati paralleelselt toetatud stabiilse haruga 1.20.1 korrigeeriv väljalase, mis toob sisse vaid tõsiste vigade ja haavatavuste kõrvaldamisega seotud muudatused. Järgmisel aastal moodustatakse põhiharu 1.21.x baasil stabiilne haru 1.22.
Uued versioonid parandavad DNS-i hostinimede lahendamise koodis haavatavuse (CVE-2021-23017), mis võib põhjustada krahhi või potentsiaalselt käivitada ründaja koodi. Probleem ilmneb teatud DNS-serveri vastuste töötlemises, mille tulemuseks on ühebaidine puhvri ülevool. Haavatavus ilmub ainult siis, kui see on lubatud DNS-i lahendaja sätetes, kasutades "resolver" direktiivi. Rünnaku läbiviimiseks peab ründajal olema võimalik DNS-serveri UDP-pakette võltsida või DNS-serveri üle kontrolli saada. Haavatavus on ilmnenud pärast nginx 0.6.18 väljalaskmist. Vanemate versioonide probleemi lahendamiseks saab kasutada plaastrit.
Turvalisusega mitteseotud muudatused versioonis nginx 1.21.0:
- Muutujate tugi on lisatud direktiividele "proxy_ssl_certificate", "proxy_ssl_certificate_key" "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" ja "uwsgi_ssl_certificate_key".
- Meili puhverserveri moodul on lisanud "konveieri" toe mitme POP3- või IMAP-päringu saatmiseks ühes ühenduses, samuti on lisatud uus direktiiv "max_errors", mis määrab maksimaalse protokollivigade arvu, mille järel ühendus suletakse.
- Lisatud voomoodulile "fastopen" parameeter, mis võimaldab "TCP Fast Open" režiimi kuulamispesade jaoks.
- Probleemid erimärkide vältimisega automaatse ümbersuunamise ajal, lisades lõppu kaldkriipsu, on lahendatud.
- SMTP-konveieri kasutamisel klientidega ühenduste sulgemise probleem on lahendatud.
Allikas: opennet.ru