ProHoster > Blog > naidheachdan eadar-lìn > Ùrachadh Nginx 1.22.1 agus 1.23.2 le so-leòntachd stèidhichte

Ùrachadh Nginx 1.22.1 agus 1.23.2 le so-leòntachd stèidhichte

Chaidh am prìomh mheur de nginx 1.23.2 a leigeil ma sgaoil, anns a bheil leasachadh feartan ùra a ’leantainn, a bharrachd air a bhith a’ leigeil a-mach meur seasmhach le taic co-shìnte de nginx 1.22.1, nach eil a ’toirt a-steach ach atharrachaidhean co-cheangailte ri cuir às do dhroch mhearachdan agus so-leòntachd.

Bidh na dreachan ùra a’ cur às do dhà chugallachd (CVE-2022-41741, CVE-2022-41742) anns a’ mhodal ngx_http_mp4_module, a thathas a’ cleachdadh gus sruthadh bho fhaidhlichean ann an cruth H.264/AAC a chuir air dòigh. Dh ’fhaodadh na so-leòntachd leantainn gu truailleadh cuimhne no aodion cuimhne nuair a bhios tu a’ giullachd faidhle mp4 a chaidh a dhealbhadh gu sònraichte. Thathas a’ toirt iomradh air crìoch èiginneach air pròiseas obrach mar thoradh air an sin, ach chan eil taisbeanaidhean eile air an dùnadh a-mach, leithid eagrachadh coileanadh còd air an fhrithealaiche.

Bu chòir a thoirt fa-near gun deach so-leòntachd coltach ris a shuidheachadh mar-thà anns a’ mhodal ngx_http_mp4_module ann an 2012. A bharrachd air an sin, thug F5 cunntas air so-leòntachd coltach ris (CVE-2022-41743) ann an toradh NGINX Plus, a ’toirt buaidh air modal ngx_http_hls_module, a bheir taic don phròtacal HLS (Apple HTTP Live Streaming).

A bharrachd air cuir às do chugallachd, thathas a’ moladh na h-atharrachaidhean a leanas ann an nginx 1.23.2:

  • Taic a bharrachd dha na caochladairean “$ proxy_protocol_tlv_*”, anns a bheil luachan nan raointean TLV (Type-Length-Value) a tha a’ nochdadh anns a’ phròtacal Type-Length-Value PROXY v2.
  • Cho fad ‘s a thionndaidheas tu gu fèin-ghluasadach iuchraichean crioptachaidh airson tiogaidean seisean TLS, air an cleachdadh nuair a bhios tu a’ cleachdadh cuimhne co-roinnte anns an stiùireadh ssl_session_cache.
  • Tha an ìre logaidh airson mhearachdan co-cheangailte ri seòrsachan clàran SSL ceàrr air a dhol sìos bho ìre èiginneach gu ìre fiosrachaidh.
  • Tha an ìre logaidh airson teachdaireachdan mu neo-chomas cuimhne a riarachadh airson seisean ùr air atharrachadh bho rabhadh gu rabhadh agus tha e cuingealaichte ri bhith a’ toirt a-mach aon inntrigeadh gach diog.
  • Air àrd-ùrlar Windows, chaidh co-chruinneachadh le OpenSSL 3.0 a stèidheachadh.
  • Meòrachadh nas fheàrr air mearachdan protocol PROXY sa log.
  • Chàirich sinn cùis far nach do dh’ obraich an ùine a chaidh a shònrachadh anns an stiùireadh “ssl_session_timeout” nuair a bha thu a’ cleachdadh TLSv1.3 stèidhichte air OpenSSL no BoringSSL.

Source: fosgailtenet.ru

Cuir beachd ann