Nginx 1.21.0:n uuden päähaaran ensimmäinen julkaisu on esitelty, jonka puitteissa uusien ominaisuuksien kehittäminen jatkuu. Samanaikaisesti tuetun vakaan haaran 1.20.1 kanssa valmisteltiin korjaava julkaisu, joka tuo vain vakavien virheiden ja haavoittuvuuksien poistamiseen liittyviä muutoksia. Ensi vuonna muodostetaan päähaara 1.21.x pohjalta vakaa haara 1.22.
Uudet versiot korjaavat DNS:n isäntänimien selvittämiskoodin haavoittuvuuden (CVE-2021-23017), joka voi johtaa kaatumiseen tai mahdollisesti suorittamaan hyökkääjäkoodia. Ongelma ilmenee tiettyjen DNS-palvelinvastausten käsittelyssä, mikä johtaa yhden tavun puskurin ylivuotoon. Haavoittuvuus näkyy vain, kun se on otettu käyttöön DNS-selvitysasetuksissa "resolver"-direktiivin avulla. Hyökkäyksen suorittamiseksi hyökkääjän on kyettävä huijaamaan UDP-paketteja DNS-palvelimelta tai saamaan DNS-palvelimen hallintaansa. Haavoittuvuus on ilmaantunut nginx 0.6.18:n julkaisun jälkeen. Korjaustiedoston avulla voidaan korjata ongelma vanhemmissa julkaisuissa.
Muut kuin turvallisuuteen liittyvät muutokset nginx 1.21.0:ssa:
- Muuttujien tuki on lisätty direktiiveihin "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" ja "uwsgi_ssl_key_certificate".
- Sähköpostin välityspalvelinmoduuli on lisännyt tuen useiden POP3- tai IMAP-pyyntöjen lähettämiseen yhdessä yhteydessä, ja lisäsi myös uuden ohjeen "max_errors", joka määrittää protokollavirheiden enimmäismäärän, jonka jälkeen yhteys suljetaan.
- Lisätty "fastopen"-parametri stream-moduuliin, mikä mahdollistaa "TCP Fast Open" -tilan kuunteluliittimille.
- Ongelmat, jotka liittyvät erikoismerkkien välttämiseen automaattisten uudelleenohjausten aikana lisäämällä vinoviiva loppuun, on ratkaistu.
- Ongelma yhteyksien sulkemisessa asiakkaisiin käytettäessä SMTP-liukuhihnaa on ratkaistu.
Lähde: opennet.ru