De earste release fan 'e nije haadtûke fan nginx 1.21.0 is presintearre, wêryn't de ûntwikkeling fan nije funksjes sil trochgean. Tagelyk waard in korrektive release taret yn parallel mei de stipe stabile tûke 1.20.1, dy't allinich wizigingen yntrodusearret yn ferbân mei it eliminearjen fan serieuze flaters en kwetsberens. Takom jier sil op basis fan de haadtûke 1.21.x in stabile tûke 1.22 foarme wurde.
De nije ferzjes reparearje in kwetsberens (CVE-2021-23017) yn 'e koade foar it oplossen fan hostnammen yn DNS, wat kin liede ta in crash of mooglik útfierende oanfallerkoade. It probleem manifestearret him yn 'e ferwurking fan bepaalde DNS-tsjinner-antwurden dy't resultearje yn in ien-byte buffer oerstreaming. De kwetsberens ferskynt allinich as ynskeakele is yn 'e DNS-resolver-ynstellingen mei de rjochtline "resolver". Om in oanfal út te fieren, moat in oanfaller UDP-pakketten fan 'e DNS-tsjinner kinne spoofje of kontrôle krije oer de DNS-tsjinner. De kwetsberens is ferskynd sûnt de frijlitting fan nginx 0.6.18. In patch kin brûkt wurde om it probleem op te lossen yn âldere releases.
Net-feiligensferoarings yn nginx 1.21.0:
- Fariabele stipe is tafoege oan de rjochtlinen "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" en "uwsgi_ssl_certificate_key".
- De e-postproxymodule hat stipe tafoege foar "pipelining" foar it ferstjoeren fan meardere POP3- of IMAP-oanfragen yn ien ferbining, en hat ek in nije rjochtline "max_errors" tafoege, dy't it maksimale oantal protokolflaters definiearret wêrnei't de ferbining sletten wurdt.
- In parameter "fastopen" tafoege oan 'e streammodule, wêrtroch't "TCP Fast Open" modus foar harkjende sockets mooglik is.
- Problemen mei it ûntsnappen fan spesjale tekens by automatyske trochferwizings troch it tafoegjen fan in slash oan 'e ein binne oplost.
- It probleem mei it sluten fan ferbiningen mei kliïnten by it brûken fan SMTP-pipelining is oplost.
Boarne: opennet.ru