شاخه اصلی nginx 1.23.2 منتشر شده است که در آن توسعه ویژگی های جدید ادامه دارد و همچنین انتشار شاخه پایدار موازی پشتیبانی شده nginx 1.22.1 که فقط شامل تغییرات مربوط به حذف خطاهای جدی است و آسیب پذیری ها
نسخههای جدید دو آسیبپذیری (CVE-2022-41741، CVE-2022-41742) را در ماژول ngx_http_mp4_module که برای سازماندهی جریان از فایلها در قالب H.264/AAC استفاده میشود، حذف میکند. این آسیبپذیریها میتواند منجر به تخریب حافظه یا نشت حافظه در هنگام پردازش یک فایل mp4 شود. خاتمه اضطراری یک فرآیند کاری به عنوان یک نتیجه ذکر شده است، اما سایر تظاهرات، مانند سازماندهی اجرای کد در سرور، مستثنی نیستند.
قابل ذکر است که آسیب پذیری مشابهی قبلاً در ماژول ngx_http_mp4_module در سال 2012 رفع شده بود. علاوه بر این، F5 یک آسیبپذیری مشابه (CVE-2022-41743) را در محصول NGINX Plus گزارش کرد که بر ماژول ngx_http_hls_module که از پروتکل HLS (Apple HTTP Live Streaming) پشتیبانی میکند، تأثیر میگذارد.
علاوه بر حذف آسیب پذیری ها، تغییرات زیر در nginx 1.23.2 پیشنهاد شده است:
- پشتیبانی از متغیرهای "$proxy_protocol_tlv_*" اضافه شد که حاوی مقادیر فیلدهای TLV (Type-Length-Value) هستند که در پروتکل Type-Length-Value PROXY v2 ظاهر می شوند.
- ارائه چرخش خودکار کلیدهای رمزگذاری برای بلیط های جلسه TLS، که هنگام استفاده از حافظه مشترک در دستورالعمل ssl_session_cache استفاده می شود.
- سطح ثبت برای خطاهای مربوط به انواع رکوردهای SSL نادرست از سطح بحرانی به سطح اطلاعاتی کاهش یافته است.
- سطح ثبت پیامهای مربوط به ناتوانی در تخصیص حافظه برای یک جلسه جدید از هشدار به هشدار تغییر کرده و به خروجی یک ورودی در ثانیه محدود شده است.
- در پلتفرم ویندوز، مونتاژ با OpenSSL 3.0 ایجاد شده است.
- انعکاس بهبود یافته خطاهای پروتکل PROXY در گزارش.
- مشکلی که در آن زمان تعیین شده در دستورالعمل "ssl_session_timeout" هنگام استفاده از TLSv1.3 بر اساس OpenSSL یا BoringSSL کار نمی کند، برطرف شد.
منبع: opennet.ru