Bemutatták az nginx 1.21.0 új főágának első kiadását, amelyen belül az új funkciók fejlesztése folytatódik. Ezzel párhuzamosan a támogatott 1.20.1-es stabil ággal párhuzamosan korrekciós kiadás is készült, amely csak a súlyos hibák és sérülékenységek kiküszöbölésével kapcsolatos változtatásokat vezet be. Jövőre az 1.21.x főág alapján egy stabil 1.22-es ág alakul ki.
Az új verziók egy biztonsági rést (CVE-2021-23017) javítanak ki a DNS-ben található gazdagépnevek feloldására szolgáló kódban, amely összeomláshoz vagy potenciális támadókód futtatásához vezethet. A probléma bizonyos DNS-kiszolgáló válaszok feldolgozásában nyilvánul meg, ami egy bájtos puffertúlcsordulást eredményez. A biztonsági rés csak akkor jelenik meg, ha engedélyezve van a DNS-feloldó beállításaiban a „resolver” direktíva használatával. A támadás végrehajtásához a támadónak képesnek kell lennie a DNS-kiszolgálóról érkező UDP-csomagok meghamisítására vagy a DNS-kiszolgáló feletti irányítás átvételére. A sérülékenység az nginx 0.6.18 kiadása óta jelent meg. Egy javítás használható a probléma megoldására a régebbi kiadásokban.
Nem biztonsági változtatások az nginx 1.21.0-ban:
- A "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" és "uwsgi_ssl_key_certificate" direktívákhoz változó támogatás került.
- A levelezési proxy modul támogatja a több POP3- vagy IMAP-kérés egyetlen kapcsolaton belüli küldéséhez szükséges „folyamatkezelést”, valamint hozzáadott egy új „max_errors” direktívát, amely meghatározza a protokollhibák maximális számát, amely után a kapcsolat megszakad.
- Hozzáadott egy "fastopen" paramétert a stream modulhoz, lehetővé téve a "TCP Fast Open" módot a hallgatási socketekhez.
- Megoldódtak a speciális karakterek automatikus átirányítások során történő elkerülésével kapcsolatos problémák a perjel hozzáadásával.
- Az SMTP-folyamatkezelés használatakor az ügyfelekkel való kapcsolatok bezárásával kapcsolatos probléma megoldódott.
Forrás: opennet.ru