Cabang utama nginx 1.23.2 telah dirilis, di mana pengembangan fitur-fitur baru terus berlanjut, serta rilis cabang stabil nginx 1.22.1 yang didukung paralel, yang hanya mencakup perubahan yang terkait dengan penghapusan kesalahan serius dan kerentanan.
Versi baru menghilangkan dua kerentanan (CVE-2022-41741, CVE-2022-41742) dalam modul ngx_http_mp4_module, yang digunakan untuk mengatur streaming dari file dalam format H.264/AAC. Kerentanan dapat menyebabkan kerusakan memori atau kebocoran memori saat memproses file mp4 yang dibuat khusus. Penghentian darurat proses kerja disebutkan sebagai konsekuensinya, namun manifestasi lain tidak dikecualikan, seperti organisasi eksekusi kode di server.
Patut dicatat bahwa kerentanan serupa telah diperbaiki di modul ngx_http_mp4_module pada tahun 2012. Selain itu, F5 melaporkan kerentanan serupa (CVE-2022-41743) pada produk NGINX Plus, yang memengaruhi modul ngx_http_hls_module, yang menyediakan dukungan untuk protokol HLS (Apple HTTP Live Streaming).
Selain menghilangkan kerentanan, perubahan berikut diusulkan di nginx 1.23.2:
- Menambahkan dukungan untuk variabel “$proxy_protocol_tlv_*”, yang berisi nilai bidang TLV (Type-Length-Value) yang muncul di protokol Type-Length-Value PROXY v2.
- Menyediakan rotasi otomatis kunci enkripsi untuk tiket sesi TLS, digunakan saat menggunakan memori bersama dalam arahan ssl_session_cache.
- Tingkat logging untuk kesalahan yang terkait dengan jenis data SSL yang salah telah diturunkan dari tingkat kritis ke tingkat informasional.
- Tingkat logging untuk pesan tentang ketidakmampuan mengalokasikan memori untuk sesi baru telah diubah dari peringatan menjadi peringatan dan dibatasi untuk menghasilkan satu entri per detik.
- Pada platform Windows, perakitan dengan OpenSSL 3.0 telah dilakukan.
- Peningkatan refleksi kesalahan protokol PROXY di log.
- Memperbaiki masalah ketika batas waktu yang ditentukan dalam arahan "ssl_session_timeout" tidak berfungsi saat menggunakan TLSv1.3 berdasarkan OpenSSL atau BoringSSL.
Sumber: opennet.ru