ProHoster > Blog > ynternet nijs > Nginx 1.22.1 en 1.23.2 update mei kwetsberens fêst

Nginx 1.22.1 en 1.23.2 update mei kwetsberens fêst

De haadtûke fan nginx 1.23.2 is frijlitten, wêryn't de ûntwikkeling fan nije funksjes trochgiet, lykas de frijlitting fan 'e parallel stipe stabile tûke fan nginx 1.22.1, dy't allinich feroaringen omfettet yn ferbân mei it eliminearjen fan serieuze flaters en kwetsberens.

De nije ferzjes eliminearje twa kwetsberens (CVE-2022-41741, CVE-2022-41742) yn 'e module ngx_http_mp4_module, brûkt om streaming fan bestannen yn it H.264/AAC-formaat te organisearjen. De kwetsberens kinne liede ta ûnthâldkorrupsje of ûnthâldlek by it ferwurkjen fan in spesjaal makke mp4-bestân. In needbeëiniging fan in wurkproses wurdt as gefolch neamd, mar oare manifestaasjes binne net útsletten, lykas de organisaasje fan koade-útfiering op 'e tsjinner.

It is opmerklik dat in ferlykbere kwetsberens al yn 'e ngx_http_mp4_module module yn 2012 waard reparearre. Derneist rapporteare F5 in ferlykbere kwetsberens (CVE-2022-41743) yn it NGINX Plus-produkt, dy't de ngx_http_hls_module-module beynfloedet, dy't stipe leveret foar it HLS (Apple HTTP Live Streaming) protokol.

Neist it eliminearjen fan kwetsberens wurde de folgjende wizigingen foarsteld yn nginx 1.23.2:

  • Stipe tafoege foar de fariabelen "$proxy_protocol_tlv_*", dy't de wearden befetsje fan 'e TLV (Type-Length-Value)-fjilden dy't ferskine yn it Type-Length-Value PROXY v2-protokol.
  • Foarsjoen fan automatyske rotaasje fan fersifering kaaien foar TLS sesje kaartsjes, brûkt by it brûken fan dielde ûnthâld yn de ssl_session_cache rjochtline.
  • It lognivo foar flaters yn ferbân mei ferkearde SSL-recordtypen is ferlege fan kritysk nei ynformatyf nivo.
  • It loggingsnivo foar berjochten oer it ûnfermogen om ûnthâld te allocearjen foar in nije sesje is feroare fan warskôging nei warskôging en is beheind ta it útfieren fan ien yngong per sekonde.
  • Op it Windows-platfoarm is assemblage mei OpenSSL 3.0 fêststeld.
  • Ferbettere refleksje fan PROXY-protokolflaters yn it log.
  • In probleem reparearre wêr't de timeout spesifisearre yn 'e "ssl_session_timeout"-rjochtline net wurke by it brûken fan TLSv1.3 basearre op OpenSSL of BoringSSL.

Boarne: opennet.ru

Add a comment