Nginx 1.22.1 અને 1.23.2 સુધારેલ નબળાઈઓ સાથે અપડેટ

nginx 1.23.2 ની મુખ્ય શાખા બહાર પાડવામાં આવી છે, જેની અંદર નવી સુવિધાઓનો વિકાસ ચાલુ રહે છે, તેમજ nginx 1.22.1 ની સમાંતર સપોર્ટેડ સ્થિર શાખાને રિલીઝ કરવામાં આવી છે, જેમાં માત્ર ગંભીર ભૂલોને દૂર કરવા સંબંધિત ફેરફારોનો સમાવેશ થાય છે અને નબળાઈઓ

નવી આવૃત્તિઓ ngx_http_mp2022_module મોડ્યુલમાં બે નબળાઈઓ (CVE-41741-2022, CVE-41742-4) દૂર કરે છે, જેનો ઉપયોગ H.264/AAC ફોર્મેટમાં ફાઇલોમાંથી સ્ટ્રીમિંગ ગોઠવવા માટે થાય છે. ખાસ ઘડવામાં આવેલી mp4 ફાઇલની પ્રક્રિયા કરતી વખતે નબળાઈઓ મેમરીમાં ભ્રષ્ટાચાર અથવા મેમરી લીક તરફ દોરી શકે છે. કાર્ય પ્રક્રિયાની કટોકટી સમાપ્તિનો પરિણામ તરીકે ઉલ્લેખ કરવામાં આવ્યો છે, પરંતુ અન્ય અભિવ્યક્તિઓ બાકાત નથી, જેમ કે સર્વર પર કોડ એક્ઝિક્યુશનનું સંગઠન.

નોંધનીય છે કે 4 માં ngx_http_mp2012_module મોડ્યુલમાં સમાન નબળાઈ પહેલેથી જ નિશ્ચિત કરવામાં આવી હતી. વધુમાં, F5 એ NGINX Plus ઉત્પાદનમાં સમાન નબળાઈ (CVE-2022-41743) નો અહેવાલ આપ્યો છે, જે ngx_http_hls_module મોડ્યુલને અસર કરે છે, જે HLS (Apple HTTP લાઈવ સ્ટ્રીમિંગ) પ્રોટોકોલ માટે સપોર્ટ પૂરો પાડે છે.

નબળાઈઓને દૂર કરવા ઉપરાંત, nginx 1.23.2 નીચેના ફેરફારોની દરખાસ્ત કરે છે:

• "$proxy_protocol_tlv_*" ચલો માટે ઉમેરાયેલ સમર્થન, જેમાં TLV (Type-Length-Value) ફીલ્ડના મૂલ્યો છે જે Type-Length-Value PROXY v2 પ્રોટોકોલમાં દેખાય છે.
• TLS સત્ર ટિકિટો માટે એન્ક્રિપ્શન કીનું સ્વચાલિત પરિભ્રમણ પ્રદાન કરે છે, જ્યારે ssl_session_cache નિર્દેશમાં વહેંચાયેલ મેમરીનો ઉપયોગ કરવામાં આવે છે.
• ખોટા SSL રેકોર્ડ પ્રકારોથી સંબંધિત ભૂલો માટે લોગીંગ સ્તર ગંભીરથી માહિતીના સ્તર સુધી ઘટાડી દેવામાં આવ્યું છે.
• નવા સત્ર માટે મેમરી ફાળવવામાં અસમર્થતા વિશેના સંદેશાઓ માટે લૉગિંગ લેવલ ચેતવણીથી ચેતવવા માટે બદલવામાં આવ્યું છે અને તે પ્રતિ સેકન્ડ એક એન્ટ્રી આઉટપુટ કરવા માટે મર્યાદિત છે.
• વિન્ડોઝ પ્લેટફોર્મ પર, OpenSSL 3.0 સાથે એસેમ્બલી સ્થાપિત કરવામાં આવી છે.
• લોગમાં પ્રોક્સી પ્રોટોકોલ ભૂલોનું સુધારેલ પ્રતિબિંબ.
• OpenSSL અથવા BoringSSL પર આધારિત TLSv1.3 નો ઉપયોગ કરતી વખતે "ssl_session_timeout" ડાયરેક્ટિવમાં ઉલ્લેખિત સમયસમાપ્તિ કામ કરતી ન હોય તેવી સમસ્યાને ઠીક કરી.

સોર્સ: opennet.ru