Branch prensipal la nan nginx 1.23.2 te lage, nan ki devlopman nan nouvo karakteristik kontinye, osi byen ke liberasyon an nan paralèl sipòte branch ki estab nan nginx 1.22.1, ki gen ladan sèlman chanjman ki gen rapò ak eliminasyon an nan erè grav ak frajilite yo.
Nouvo vèsyon yo elimine de vilnerabilite (CVE-2022-41741, CVE-2022-41742) nan modil ngx_http_mp4_module, yo itilize pou òganize difizyon nan dosye nan fòma H.264/AAC. Vulnerabilite yo ta ka mennen nan koripsyon memwa oswa koule memwa lè w ap trete yon fichye mp4 espesyalman fabrike. Yon revokasyon ijans nan yon pwosesis travay mansyone kòm yon konsekans, men lòt manifestasyon yo pa eskli, tankou òganizasyon an nan ekzekisyon kòd sou sèvè a.
Li enpòtan pou remake ke yon vilnerabilite menm jan an te deja fiks nan modil la ngx_http_mp4_module nan 2012. Anplis de sa, F5 rapòte yon vilnerabilite menm jan an (CVE-2022-41743) nan pwodwi NGINX Plus, ki afekte modil ngx_http_hls_module, ki bay sipò pou pwotokòl HLS (Apple HTTP Live Streaming).
Anplis de sa nan elimine frajilite, chanjman sa yo pwopoze nan nginx 1.23.2:
- Te ajoute sipò pou varyab "$proxy_protocol_tlv_*" yo, ki gen valè jaden TLV (Type-Length-Value) ki parèt nan pwotokòl Type-Length-Value PROXY v2.
- Bay wotasyon otomatik kle chifreman pou tikè sesyon TLS, yo itilize lè w ap itilize memwa pataje nan direktiv ssl_session_cache.
- Nivo anrejistreman pou erè ki gen rapò ak kalite dosye SSL kòrèk yo te bese soti nan nivo kritik nan nivo enfòmasyon.
- Nivo anrejistreman pou mesaj sou enkapasite pou asiyen memwa pou yon nouvo sesyon te chanje soti nan alèt pou avèti epi li limite a pwodiksyon yon sèl antre pou chak segonn.
- Sou platfòm Windows, asanble ak OpenSSL 3.0 te etabli.
- Amelyore refleksyon erè pwotokòl PROXY nan boutèy demi lit la.
- Fikse yon pwoblèm kote delè ki espesifye nan direktiv "ssl_session_timeout" pa t travay lè w ap itilize TLSv1.3 ki baze sou OpenSSL oswa BoringSSL.
Sous: opennet.ru