Megjelent az nginx 1.23.2 fő ága, amelyen belül folytatódik az új funkciók fejlesztése, valamint az nginx 1.22.1 párhuzamosan támogatott stabil ágának kiadása, amely csak a súlyos hibák kiküszöbölésével, ill. sebezhetőségek.
Az új verziók két sebezhetőséget (CVE-2022-41741, CVE-2022-41742) szüntenek meg az ngx_http_mp4_module modulban, amely a H.264/AAC formátumú fájlokból történő adatfolyam megszervezésére szolgál. A biztonsági rések memóriasérüléshez vagy memóriaszivárgáshoz vezethetnek speciálisan kialakított mp4 fájlok feldolgozása során. Következményként említik a munkafolyamat vészhelyzeti leállítását, de más megnyilvánulások sem kizártak, mint például a kódvégrehajtás megszervezése a szerveren.
Figyelemre méltó, hogy egy hasonló biztonsági rést már 4-ben javítottak az ngx_http_mp2012_module modulban. Ezenkívül az F5 hasonló sérülékenységet (CVE-2022-41743) jelentett az NGINX Plus termékben, amely az ngx_http_hls_module modult érinti, amely támogatja a HLS (Apple HTTP Live Streaming) protokollt.
A sérülékenységek kiküszöbölése mellett a következő változtatásokat javasoljuk az nginx 1.23.2-ben:
- Hozzáadott támogatás a „$proxy_protocol_tlv_*” változókhoz, amelyek a Type-Length-Value PROXY v2 protokollban megjelenő TLV (Type-Length-Value) mezők értékeit tartalmazzák.
- Biztosította a titkosítási kulcsok automatikus elforgatását a TLS-munkamenetjegyekhez, amelyeket az ssl_session_cache direktívában megosztott memória használatakor használnak.
- A helytelen SSL-rekordtípusokkal kapcsolatos hibák naplózási szintjét kritikusról információs szintre csökkentették.
- Az új munkamenethez memóriafoglalási képtelenségről szóló üzenetek naplózási szintje riasztásról figyelmeztetésre módosult, és másodpercenként egy bejegyzés kiadására korlátozódik.
- Windows platformon az OpenSSL 3.0-val való összeállítás létrejött.
- A PROXY protokoll hibáinak jobb tükrözése a naplóban.
- Kijavítottuk azt a hibát, amely miatt az „ssl_session_timeout” direktívában megadott időtúllépés nem működött OpenSSL vagy BoringSSL alapú TLSv1.3 használatakor.
Forrás: opennet.ru