Objavljena je glavna grana nginxa 1.23.2 unutar koje se nastavlja razvoj novih značajki, kao i izdanje paralelno podržane stabilne grane nginxa 1.22.1 koja uključuje samo promjene koje se odnose na otklanjanje ozbiljnih grešaka i ranjivosti.
Nove verzije eliminiraju dvije ranjivosti (CVE-2022-41741, CVE-2022-41742) u modulu ngx_http_mp4_module, koji se koristi za organizaciju strujanja iz datoteka u H.264/AAC formatu. Ranjivosti mogu dovesti do oštećenja memorije ili curenja memorije prilikom obrade posebno izrađene mp4 datoteke. Kao posljedica navodi se hitan prekid radnog procesa, ali nisu isključene ni druge manifestacije, poput organizacije izvršavanja koda na poslužitelju.
Važno je napomenuti da je slična ranjivost već popravljena u modulu ngx_http_mp4_module 2012. Osim toga, F5 je prijavio sličnu ranjivost (CVE-2022-41743) u proizvodu NGINX Plus, koja utječe na modul ngx_http_hls_module, koji pruža podršku za HLS (Apple HTTP Live Streaming) protokol.
Uz uklanjanje ranjivosti, u nginx 1.23.2 predložene su sljedeće promjene:
- Dodana je podrška za varijable “$proxy_protocol_tlv_*”, koje sadrže vrijednosti polja TLV (Type-Length-Value) koja se pojavljuju u protokolu Type-Length-Value PROXY v2.
- Omogućena je automatska rotacija ključeva šifriranja za ulaznice TLS sesije, koji se koriste kada se koristi dijeljena memorija u direktivi ssl_session_cache.
- Razina zapisivanja za pogreške povezane s netočnim vrstama SSL zapisa snižena je s kritične na informacijsku razinu.
- Razina zapisivanja za poruke o nemogućnosti dodjele memorije za novu sesiju promijenjena je iz upozorenja u upozorenje i ograničena je na ispisivanje jednog unosa u sekundi.
- Na Windows platformi uspostavljena je montaža s OpenSSL 3.0.
- Poboljšan odraz pogrešaka PROXY protokola u zapisniku.
- Riješen je problem u kojem vremensko ograničenje navedeno u direktivi "ssl_session_timeout" nije radilo pri korištenju TLSv1.3 na temelju OpenSSL-a ili BoringSSL-a.
Izvor: opennet.ru