ProHoster > Blog > noticias de internet > Actualización de Nginx 1.22.1 e 1.23.2 coas vulnerabilidades corrixidas

Actualización de Nginx 1.22.1 e 1.23.2 coas vulnerabilidades corrixidas

Lanzouse a rama principal de nginx 1.23.2, dentro da cal continúa o desenvolvemento de novas funcións, así como o lanzamento da rama estable paralela compatible de nginx 1.22.1, que só inclúe cambios relacionados coa eliminación de erros graves e vulnerabilidades.

As novas versións eliminan dúas vulnerabilidades (CVE-2022-41741, CVE-2022-41742) no módulo ngx_http_mp4_module, que se utiliza para organizar a transmisión de ficheiros en formato H.264/AAC. As vulnerabilidades poden provocar a corrupción da memoria ou a fuga de memoria ao procesar un ficheiro mp4 especialmente elaborado. Menciónase como consecuencia a terminación de emerxencia dun proceso de traballo, pero non se exclúen outras manifestacións, como a organización da execución de código no servidor.

Cabe destacar que xa se corrixiu unha vulnerabilidade similar no módulo ngx_http_mp4_module en 2012. Ademais, F5 informou dunha vulnerabilidade similar (CVE-2022-41743) no produto NGINX Plus, que afecta ao módulo ngx_http_hls_module, que ofrece soporte para o protocolo HLS (Apple HTTP Live Streaming).

Ademais de eliminar as vulnerabilidades, propóñense os seguintes cambios en nginx 1.23.2:

  • Engadido soporte para as variables "$proxy_protocol_tlv_*", que conteñen os valores dos campos TLV (Type-Length-Value) que aparecen no protocolo Type-Length-Value PROXY v2.
  • Forneceu a rotación automática das claves de cifrado para os tickets de sesión TLS, que se usan cando se usa a memoria compartida na directiva ssl_session_cache.
  • O nivel de rexistro de erros relacionados con tipos de rexistro SSL incorrectos reduciuse de nivel crítico a nivel informativo.
  • O nivel de rexistro das mensaxes sobre a incapacidade de asignar memoria para unha nova sesión cambiouse de alerta a aviso e limítase a emitir unha entrada por segundo.
  • Na plataforma Windows, estableceuse a montaxe con OpenSSL 3.0.
  • Mellorouse a reflexión dos erros do protocolo PROXY no rexistro.
  • Solucionouse un problema no que o tempo de espera especificado na directiva "ssl_session_timeout" non funcionaba ao usar TLSv1.3 baseado en OpenSSL ou BoringSSL.

Fonte: opennet.ru

Engadir un comentario