Nginx 1.23.2:n päähaara on julkaistu, jonka puitteissa uusien ominaisuuksien kehitys jatkuu, sekä rinnakkaistuetun vakaan nginx 1.22.1:n haaran julkaisu, joka sisältää vain vakavien virheiden poistamiseen ja poistamiseen liittyviä muutoksia. haavoittuvuuksia.
Uudet versiot poistavat kaksi haavoittuvuutta (CVE-2022-41741, CVE-2022-41742) ngx_http_mp4_module-moduulissa, joita käytetään H.264/AAC-muodossa olevien tiedostojen suoratoiston järjestämiseen. Haavoittuvuudet voivat johtaa muistin vioittumiseen tai muistivuotoon, kun käsitellään erityisesti valmistettua mp4-tiedostoa. Seurauksena mainitaan työprosessin hätäkatkaisu, mutta muita ilmentymiä ei ole poissuljettu, kuten koodin suorittamisen järjestäminen palvelimella.
On huomionarvoista, että samanlainen haavoittuvuus korjattiin jo ngx_http_mp4_module-moduulissa vuonna 2012. Lisäksi F5 ilmoitti samanlaisesta haavoittuvuudesta (CVE-2022-41743) NGINX Plus -tuotteessa, joka vaikuttaa ngx_http_hls_module-moduuliin, joka tukee HLS (Apple HTTP Live Streaming) -protokollaa.
Haavoittuvuuksien poistamisen lisäksi nginx 1.23.2:ssa ehdotetaan seuraavia muutoksia:
- Lisätty tuki "$proxy_protocol_tlv_*"-muuttujille, jotka sisältävät Type-Length-Value PROXY v2 -protokollassa näkyvien TLV-kenttien (Type-Length-Value) arvot.
- Tarjosi automaattisen TLS-istuntolippujen salausavaimien kierron, kun käytetään jaettua muistia ssl_session_cache-direktiivissä.
- Virheellisiin SSL-tietuetyyppeihin liittyvien virheiden kirjaustaso on laskettu kriittiseltä tiedoksi.
- Uuden istunnon muistin varaamiskyvyttömyydestä kertovien viestien kirjaustaso on muutettu hälytyksestä varoitukseksi, ja se on rajoitettu lähettämään yksi merkintä sekunnissa.
- Windows-alustalla kokoonpano OpenSSL 3.0:lla on perustettu.
- Parannettu PROXY-protokollavirheiden heijastus lokissa.
- Korjattu ongelma, jossa "ssl_session_timeout"-direktiivissä määritetty aikakatkaisu ei toiminut käytettäessä OpenSSL- tai BoringSSL-pohjaista TLSv1.3:a.
Lähde: opennet.ru