اولین نسخه از شاخه اصلی جدید nginx 1.21.0 ارائه شده است که توسعه ویژگی های جدید در آن ادامه خواهد داشت. در همان زمان، نسخه اصلاحی به موازات شاخه پایدار پشتیبانی شده 1.20.1 تهیه شد که فقط تغییرات مربوط به حذف خطاها و آسیب پذیری های جدی را معرفی می کند. سال آینده بر اساس شاخه اصلی 1.21.x یک شاخه پایدار 1.22 تشکیل می شود.
نسخههای جدید یک آسیبپذیری (CVE-2021-23017) را در کد حل نامهای میزبان در DNS برطرف میکنند، که میتواند منجر به خرابی یا اجرای بالقوه کد مهاجم شود. مشکل خود را در پردازش برخی از پاسخهای سرور DNS نشان میدهد که منجر به سرریز بافر یک بایتی میشود. این آسیبپذیری تنها زمانی ظاهر میشود که در تنظیمات حلکننده DNS با استفاده از دستورالعمل «Resolver» فعال شود. برای انجام یک حمله، مهاجم باید بتواند بسته های UDP را از سرور DNS جعل کند یا کنترل سرور DNS را به دست آورد. این آسیب پذیری از زمان انتشار nginx 0.6.18 ظاهر شده است. برای رفع مشکل در نسخه های قدیمی تر می توان از یک پچ استفاده کرد.
تغییرات غیر امنیتی در nginx 1.21.0:
- پشتیبانی متغیر به دستورالعملهای "proxy_ssl_certificate"، "proxy_ssl_certificate_key"، "grpc_ssl_certificate"، "grpc_ssl_certificate_key"، "uwsgi_ssl_certificate" و "uwsgi_ssl_key" اضافه شده است.
- ماژول پروکسی نامه پشتیبانی از "pipelining" برای ارسال چندین درخواست POP3 یا IMAP در یک اتصال واحد را اضافه کرده است و همچنین دستورالعمل جدیدی "max_errors" اضافه کرده است که حداکثر تعداد خطاهای پروتکل را تعیین می کند که پس از آن اتصال بسته می شود.
- یک پارامتر "fastopen" را به ماژول استریم اضافه کرد و حالت "TCP Fast Open" را برای سوکت های گوش دادن فعال کرد.
- مشکلات فرار از کاراکترهای خاص در هنگام تغییر مسیر خودکار با اضافه کردن یک اسلش در انتها حل شده است.
- مشکل بستن اتصالات به کلاینت ها هنگام استفاده از خط لوله SMTP حل شده است.
منبع: opennet.ru