La branche principale de nginx 1.27.4 a été publiée, au sein de laquelle de nouvelles fonctionnalités sont développées, ainsi que la branche parallèle stable de nginx 1.26.3, qui ne contient que des changements liés à l'élimination d'erreurs et de vulnérabilités graves. Les mises à jour corrigent une vulnérabilité (CVE-2025-23419) qui permet de contourner la vérification des certificats TLS des clients.
Cette vulnérabilité est due à une validation insuffisante lors de la gestion des hôtes virtuels liés à une adresse IP et un numéro de port uniques, sélectionnés lors d'un accès HTTPS en fonction du nom de domaine spécifié via l'extension SNI TLS. Dans ce type de configuration, un attaquant pourrait réutiliser une session TLS dans le contexte d'un autre hôte virtuel afin de contourner l'authentification par certificat TLS du client. Ce problème se manifeste dans les configurations prenant en charge la reprise de session TLS via un « ticket de session TLS » ou utilisant un cache de session TLS. serveur Par défaut, l'authentification se fait via des certificats TLS clients. Cette vulnérabilité est présente depuis la version 1.11.4 de nginx lorsqu'il est compilé avec OpenSSL et que le protocole TLSv1.3 est activé.
Modifications non liées à la sécurité :
- Fonctionnalités ajoutées pour réduire la consommation de ressources et la charge du processeur lors de l'utilisation de TLS dans des configurations avec un grand nombre de blocs de serveurs et d'emplacements. Les modifications ajoutées permettent, au lieu de créer un contexte SSL distinct (SSL_CTX dans OpenSSL) pour chaque bloc de configuration, d'utiliser le contexte SSL existant du bloc parent.
- Correction des problèmes liés au chargement long des fichiers de configuration dus à l'analyse répétée du même ensemble. Certificats TLSLes clés et les listes d'autorités de certification sont désormais prises en charge. Le rechargement de la configuration est accéléré grâce à la réutilisation des objets TLS inchangés, tels que les certificats, les clés et les listes de révocation de certificats (CRL). La directive « ssl_object_cache_inheritable » a été ajoutée pour désactiver l'héritage des objets lors des mises à jour de la configuration.
- Cache ajouté pour les certificats et les clés chargés à l'aide de variables dans les directives (par exemple « ssl_certificate /etc/ssl/$ssl_server_name.crt »). Les directives « ssl_certificate_cache », « proxy_ssl_certificate_cache », « grpc_ssl_certificate_cache » et « uwsgi_ssl_certificate_cache » ont été ajoutées pour gérer le cache. Les directives spécifiées vous permettent de configurer la taille maximale du cache, la période de validité des enregistrements et le temps de nettoyage des enregistrements inutilisés. Par exemple : « ssl_certificate_cache max=1000 inactive=20s valid=1m; ».
- Ajout de la directive « keepalive_min_timeout », qui définit le délai pendant lequel nginx ne fermera pas la connexion keep-alive avec le client.
- Le problème avec l'apparition des messages de journal « le filtre gzip n'a pas pu utiliser la mémoire préallouée » lors de la construction avec la bibliothèque zlib-ng a été résolu.
- Correction d'un problème lors de la construction de la bibliothèque libatomic lors de l'utilisation de l'option de construction « --with-libatomic=DIR »
- Correction d'un bug qui rendait impossible l'établissement d'une connexion via le protocole QUIC lors de l'utilisation de 0-RTT.
- Assurez-vous que les demandes de négociation de version QUIC des clients sont ignorées.
- Problèmes résolus lors de la construction sur Solaris 10 avec le module ngx_http_v3_module.
- Les erreurs dans l'implémentation de HTTP/3 ont été corrigées.
Source: opennet.ru
