Ներկայացվել է nginx 1.21.0 նոր հիմնական ճյուղի առաջին թողարկումը, որի շրջանակներում կշարունակվի նոր հնարավորությունների մշակումը։ Միևնույն ժամանակ, աջակցվող կայուն ճյուղին զուգահեռ պատրաստվել է ուղղիչ թողարկում, որը միայն փոփոխություններ է մտցնում լուրջ սխալների և խոցելիության վերացման հետ: Հաջորդ տարի, հիմնվելով հիմնական ճյուղի 1.20.1.x-ի վրա, կձևավորվի կայուն մասնաճյուղ 1.21:
Նոր տարբերակները ֆիքսում են խոցելիությունը (CVE-2021-23017) DNS-ում հոսթների անունները լուծելու համար նախատեսված կոդի մեջ, որը կարող է հանգեցնել խափանման կամ հնարավոր հարձակվողի կոդի գործարկման: Խնդիրը դրսևորվում է որոշակի DNS սերվերի պատասխանների մշակման մեջ, ինչը հանգեցնում է մեկ բայթանոց բուֆերի արտահոսքի: Խոցելիությունը հայտնվում է միայն այն դեպքում, երբ միացված է DNS լուծիչի կարգավորումներում՝ օգտագործելով «լուծիչ» հրահանգը: Հարձակում իրականացնելու համար հարձակվողը պետք է կարողանա խաբել UDP փաթեթները DNS սերվերից կամ ձեռք բերել DNS սերվերի կառավարում: Խոցելիությունը հայտնվել է nginx 0.6.18-ի թողարկումից հետո: Կարկատելը կարող է օգտագործվել հին թողարկումներում խնդիրը շտկելու համար:
Ոչ անվտանգության փոփոխություններ nginx 1.21.0-ում.
- Փոփոխական աջակցություն է ավելացվել «proxy_ssl_certificate», «proxy_ssl_certificate_key», «grpc_ssl_certificate», «grpc_ssl_certificate_key», «uwsgi_ssl_certificate» և «uwsgi_ssl_key» հրահանգներին:
- Փոստի վստահված անձի մոդուլն ավելացրել է «pipelining» աջակցություն՝ մի քանի POP3 կամ IMAP հարցումներ ուղարկելու համար մեկ կապով, ինչպես նաև ավելացրել է նոր հրահանգ «max_errors», որը սահմանում է արձանագրության սխալների առավելագույն քանակը, որից հետո կապը կփակվի:
- Հոսքի մոդուլին ավելացվել է «fastopen» պարամետրը՝ միացնելով «TCP Fast Open» ռեժիմը լսելու վարդակների համար:
- Լուծվել են ավտոմատ վերահղումների ժամանակ հատուկ նիշերից խուսափելու հետ կապված խնդիրները՝ վերջում շեղ ավելացնելով:
- SMTP խողովակաշար օգտագործելիս հաճախորդների հետ կապերը փակելու խնդիրը լուծվել է:
Source: opennet.ru