Rilis pertama dari cabang utama baru nginx 1.21.0 telah disajikan, di mana pengembangan fitur-fitur baru akan terus berlanjut. Pada saat yang sama, rilis korektif disiapkan secara paralel dengan cabang stabil yang didukung 1.20.1, yang hanya memperkenalkan perubahan terkait dengan penghapusan kesalahan dan kerentanan serius. Tahun depan, berdasarkan cabang utama 1.21.x, cabang stabil 1.22 akan dibentuk.
Versi baru memperbaiki kerentanan (CVE-2021-23017) pada kode untuk menyelesaikan nama host di DNS, yang dapat menyebabkan crash atau berpotensi mengeksekusi kode penyerang. Masalahnya muncul dalam pemrosesan respons server DNS tertentu yang mengakibatkan buffer overflow satu byte. Kerentanan hanya muncul ketika diaktifkan di pengaturan penyelesai DNS menggunakan arahan “resolver”. Untuk melakukan serangan, penyerang harus mampu memalsukan paket UDP dari server DNS atau mendapatkan kendali atas server DNS. Kerentanan tersebut telah muncul sejak rilis nginx 0.6.18. Patch dapat digunakan untuk memperbaiki masalah pada rilis lama.
Perubahan non-keamanan di nginx 1.21.0:
- Dukungan variabel telah ditambahkan ke arahan "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" dan "uwsgi_ssl_certificate_key".
- Modul proxy email telah menambahkan dukungan untuk “pipelining” untuk mengirim beberapa permintaan POP3 atau IMAP dalam satu koneksi, dan juga menambahkan arahan baru “max_errors”, yang menentukan jumlah maksimum kesalahan protokol setelah koneksi akan ditutup.
- Menambahkan parameter "fastopen" ke modul streaming, mengaktifkan mode "TCP Fast Open" untuk mendengarkan soket.
- Masalah dengan keluarnya karakter khusus selama pengalihan otomatis dengan menambahkan garis miring di akhir telah teratasi.
- Masalah penutupan koneksi ke klien saat menggunakan pipeline SMTP telah teratasi.
Sumber: opennet.ru