ProHoster > Blog > actualités internet > Versions Nginx 1.21.0 et nginx 1.20.1 avec correctif de vulnérabilité

Versions Nginx 1.21.0 et nginx 1.20.1 avec correctif de vulnérabilité

La première version de la nouvelle branche principale de nginx 1.21.0 a été présentée, au sein de laquelle le développement de nouvelles fonctionnalités se poursuivra. Dans le même temps, une version corrective a été préparée parallèlement à la branche stable prise en charge 1.20.1, qui n'introduit que des modifications liées à l'élimination des erreurs et vulnérabilités graves. L'année prochaine, sur la base de la branche principale 1.21.x, une branche stable 1.22 sera formée.

Les nouvelles versions corrigent une vulnérabilité (CVE-2021-23017) dans le code de résolution des noms d'hôtes dans DNS, qui pourrait entraîner un crash ou potentiellement l'exécution de code attaquant. Le problème se manifeste dans le traitement de certaines réponses du serveur DNS, entraînant un débordement de tampon d'un octet. La vulnérabilité n'apparaît que lorsqu'elle est activée dans les paramètres du résolveur DNS à l'aide de la directive « résolveur ». Pour mener une attaque, un attaquant doit être capable d'usurper les paquets UDP du serveur DNS ou de prendre le contrôle du serveur DNS. La vulnérabilité est apparue depuis la sortie de nginx 0.6.18. Un correctif peut être utilisé pour résoudre le problème dans les anciennes versions.

Modifications non liées à la sécurité dans nginx 1.21.0 :

  • La prise en charge des variables a été ajoutée aux directives "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" et "uwsgi_ssl_certificate_key".
  • Le module proxy de messagerie a ajouté la prise en charge du « pipeline » pour l'envoi de plusieurs requêtes POP3 ou IMAP en une seule connexion, et a également ajouté une nouvelle directive « max_errors », qui définit le nombre maximum d'erreurs de protocole après lequel la connexion sera fermée.
  • Ajout d'un paramètre "fastopen" au module de flux, activant le mode "TCP Fast Open" pour l'écoute des sockets.
  • Les problèmes d'échappement des caractères spéciaux lors des redirections automatiques en ajoutant une barre oblique à la fin ont été résolus.
  • Le problème de fermeture des connexions aux clients lors de l'utilisation du pipeline SMTP a été résolu.

Source: opennet.ru

Ajouter un commentaire