ProHoster > Blog > actualités internet > Mise à jour Nginx 1.22.1 et 1.23.2 avec vulnérabilités corrigées

Mise à jour Nginx 1.22.1 et 1.23.2 avec vulnérabilités corrigées

La branche principale de nginx 1.23.2 a été publiée, au sein de laquelle le développement de nouvelles fonctionnalités se poursuit, ainsi que la sortie de la branche stable prise en charge en parallèle de nginx 1.22.1, qui n'inclut que les modifications liées à l'élimination des erreurs graves et vulnérabilités.

Les nouvelles versions éliminent deux vulnérabilités (CVE-2022-41741, CVE-2022-41742) dans le module ngx_http_mp4_module, utilisé pour organiser le streaming à partir de fichiers au format H.264/AAC. Les vulnérabilités pourraient entraîner une corruption de la mémoire ou une fuite de mémoire lors du traitement d'un fichier mp4 spécialement conçu. En conséquence, un arrêt d'urgence d'un processus de travail est évoqué, mais d'autres manifestations ne sont pas exclues, comme l'organisation de l'exécution de code sur le serveur.

Il est à noter qu'une vulnérabilité similaire a déjà été corrigée dans le module ngx_http_mp4_module en 2012. De plus, F5 a signalé une vulnérabilité similaire (CVE-2022-41743) dans le produit NGINX Plus, affectant le module ngx_http_hls_module, qui prend en charge le protocole HLS (Apple HTTP Live Streaming).

En plus d'éliminer les vulnérabilités, les modifications suivantes sont proposées dans nginx 1.23.2 :

  • Ajout de la prise en charge des variables « $proxy_protocol_tlv_* », qui contiennent les valeurs des champs TLV (Type-Length-Value) qui apparaissent dans le protocole Type-Length-Value PROXY v2.
  • Rotation automatique des clés de chiffrement pour les tickets de session TLS, utilisée lors de l'utilisation de la mémoire partagée dans la directive ssl_session_cache.
  • Le niveau de journalisation des erreurs liées à des types d'enregistrement SSL incorrects a été abaissé du niveau critique au niveau informatif.
  • Le niveau de journalisation des messages concernant l'impossibilité d'allouer de la mémoire pour une nouvelle session est passé d'alerte à avertissement et est limité à la sortie d'une entrée par seconde.
  • Sur la plateforme Windows, l'assemblage avec OpenSSL 3.0 a été établi.
  • Amélioration de la réflexion des erreurs du protocole PROXY dans le journal.
  • Correction d'un problème où le délai d'attente spécifié dans la directive "ssl_session_timeout" ne fonctionnait pas lors de l'utilisation de TLSv1.3 basé sur OpenSSL ou BoringSSL.

Source: opennet.ru

Ajouter un commentaire