Predstavljeno je prvo izdanje nove glavne grane nginxa 1.21.0 unutar koje će se nastaviti razvoj novih značajki. Istodobno je paralelno s podržanom stabilnom granom 1.20.1 pripremljeno i korektivno izdanje, koje samo uvodi promjene koje se odnose na uklanjanje ozbiljnih grešaka i ranjivosti. Sljedeće godine na temelju glavne grane 1.21.x formirat će se stabilna grana 1.22.
Nove verzije ispravljaju ranjivost (CVE-2021-23017) u kodu za rješavanje naziva hostova u DNS-u, što može dovesti do rušenja ili potencijalno izvršiti kod napadača. Problem se očituje u obradi određenih odgovora DNS poslužitelja što rezultira prekoračenjem međuspremnika od jednog bajta. Ranjivost se pojavljuje samo kada je omogućena u postavkama DNS razlučivača pomoću direktive "razrješavač". Da bi izveo napad, napadač mora biti u mogućnosti lažirati UDP pakete s DNS poslužitelja ili preuzeti kontrolu nad DNS poslužiteljem. Ranjivost se pojavila od izdanja nginxa 0.6.18. Zakrpa se može koristiti za rješavanje problema u starijim izdanjima.
Nesigurnosne promjene u nginx 1.21.0:
- Podrška za varijable dodana je direktivama "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" i "uwsgi_ssl_certificate_key".
- Mail proxy modul je dodao podršku za “pipelining” za slanje više POP3 ili IMAP zahtjeva u jednoj vezi, a također je dodao novu direktivu “max_errors”, koja definira maksimalni broj grešaka protokola nakon kojih će se veza zatvoriti.
- Dodan je parametar "fastopen" modulu streama, omogućavajući način rada "TCP Fast Open" za slušajuće utičnice.
- Riješeni su problemi s izbjegavanjem posebnih znakova tijekom automatskih preusmjeravanja dodavanjem kose crte na kraju.
- Problem sa zatvaranjem veza s klijentima pri korištenju SMTP cjevovoda je riješen.
Izvor: opennet.ru