Presentouse a primeira versión da nova rama principal de nginx 1.21.0, dentro da cal continuará o desenvolvemento de novas funcións. Ao mesmo tempo, preparouse unha versión correctiva en paralelo coa rama estable compatible 1.20.1, que só introduce cambios relacionados coa eliminación de erros graves e vulnerabilidades. O próximo ano, baseándose na rama principal 1.21.x, formarase unha rama estable 1.22.
As novas versións solucionan unha vulnerabilidade (CVE-2021-23017) no código para resolver os nomes de host en DNS, que podería provocar un fallo ou potencialmente executar código do atacante. O problema maniféstase no procesamento de certas respostas do servidor DNS que provoca un desbordamento do búfer dun byte. A vulnerabilidade só aparece cando está activada na configuración de resolución de DNS mediante a directiva "resolver". Para levar a cabo un ataque, un atacante debe ser capaz de falsificar os paquetes UDP do servidor DNS ou gañar o control do servidor DNS. A vulnerabilidade apareceu desde o lanzamento de nginx 0.6.18. Pódese usar un parche para solucionar o problema en versións máis antigas.
Cambios non relacionados coa seguridade en nginx 1.21.0:
- Engadiuse soporte para variables ás directivas "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" e "uwsgi_sslkey_certificate".
- O módulo de proxy de correo engadiu soporte para o "pipelining" para enviar varias solicitudes POP3 ou IMAP nunha única conexión, e tamén engadiu unha nova directiva "max_errors", que define o número máximo de erros de protocolo despois do cal se pechará a conexión.
- Engadiuse un parámetro "fastopen" ao módulo de emisión, habilitando o modo "TCP Fast Open" para as tomas de escoita.
- Resolvéronse os problemas de escapar de caracteres especiais durante as redireccións automáticas ao engadir unha barra inclinada ao final.
- Resolveuse o problema de pechar as conexións aos clientes cando se usa a canalización SMTP.
Fonte: opennet.ru