Nginx 1.21.0-ren adar nagusi berriaren lehen bertsioa aurkeztu da, eta horren barruan funtzio berrien garapena jarraituko du. Aldi berean, oharra zuzentzaile bat prestatu zen onartzen den 1.20.1 adar egonkorraren paraleloan, akats larriak eta ahuleziak ezabatzearekin lotutako aldaketak soilik sartzen dituena. Datorren urtean, 1.21.x adar nagusian oinarrituta, 1.22 adar egonkor bat osatuko da.
Bertsio berriek ahultasun bat (CVE-2021-23017) konpontzen dute DNSn ostalari-izenak ebazteko kodean, eta horrek hutsegite bat eragin dezake edo erasotzaileen kodea exekutatu dezake. Arazoa DNS zerbitzariaren erantzun jakin batzuen prozesamenduan agertzen da, byte bateko buffer gainezkatzea eraginez. Ahultasuna DNS ebazteko ezarpenetan gaituta dagoenean bakarrik agertzen da "konpontzailea" zuzentaraua erabiliz. Eraso bat egiteko, erasotzaileak DNS zerbitzariaren UDP paketeak faltifikatzeko edo DNS zerbitzariaren kontrola lortzeko gai izan behar du. Ahultasuna nginx 0.6.18 kaleratu zenetik agertu da. Adabaki bat erabil daiteke bertsio zaharretan arazoa konpontzeko.
Segurtasunik gabeko aldaketak nginx 1.21.0-n:
- "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" eta "uwsgi_ssl_certificate" zuzentarauei euskarria aldakorra gehitu zaie.
- Posta-proxy moduluak konexio batean POP3 edo IMAP eskaera anitz bidaltzeko "pipelining" laguntza gehitu du, eta "max_errors" zuzentarau berri bat ere gehitu du, zeinak konexioa itxiko den protokolo-erroreen gehienezko kopurua definitzen duena.
- Korronte moduluari "fastopen" parametro bat gehitu zaio, "TCP Fast Open" modua gaituta entzuteko socketetarako.
- Birbideratze automatikoetan karaktere bereziei ihes egiteko arazoak ebatzi dira amaieran barra bat gehituta.
- SMTP kanalizazioa erabiltzean bezeroekiko konexioak ixtearen arazoa konpondu da.
Iturria: opennet.ru