Aðalútibú nginx 1.23.2 hefur verið gefin út, þar sem þróun nýrra eiginleika heldur áfram, sem og útgáfa af samhliða studdu stöðugu greininni af nginx 1.22.1, sem inniheldur aðeins breytingar sem tengjast útrýmingu alvarlegra villna og varnarleysi.
Nýju útgáfurnar eyða tveimur veikleikum (CVE-2022-41741, CVE-2022-41742) í ngx_http_mp4_module einingunni, notuð til að skipuleggja streymi úr skrám á H.264/AAC sniðinu. Veikleikarnir gætu leitt til minnisspillingar eða minnisleka þegar unnið er með sérútbúna mp4 skrá. Neyðarstöðvun verkferlis er nefnd í kjölfarið, en aðrar birtingarmyndir eru ekki útilokaðar, svo sem skipulag á keyrslu kóða á þjóninum.
Það er athyglisvert að svipað varnarleysi var þegar lagað í ngx_http_mp4_module einingunni árið 2012. Að auki tilkynnti F5 svipað varnarleysi (CVE-2022-41743) í NGINX Plus vörunni, sem hafði áhrif á ngx_http_hls_module eininguna, sem veitir stuðning við HLS (Apple HTTP Live Streaming) samskiptareglur.
Auk þess að útrýma veikleikum leggur nginx 1.23.2 til eftirfarandi breytingar:
- Bætti við stuðningi við „$proxy_protocol_tlv_*“ breyturnar, sem innihalda gildi TLV (Type-Length-Value) reitanna sem birtast í Type-Length-Value PROXY v2 samskiptareglunum.
- Útvegaði sjálfvirkan snúning dulkóðunarlykla fyrir TLS fundarmiða, notaðir þegar samnýtt minni er notað í ssl_session_cache tilskipuninni.
- Skráningarstig fyrir villur sem tengjast röngum SSL færslugerðum hefur verið lækkað úr mikilvægu stigi í upplýsingastig.
- Skráningarstigi fyrir skilaboð um vanhæfni til að úthluta minni fyrir nýja lotu hefur verið breytt úr viðvörun í viðvörun og takmarkast við að gefa út eina færslu á sekúndu.
- Á Windows pallinum hefur verið komið á samsetningu með OpenSSL 3.0.
- Bætt endurspeglun á PROXY samskiptavillum í skránni.
- Lagaði vandamál þar sem tíminn sem tilgreindur er í "ssl_session_timeout" tilskipuninni virkaði ekki þegar TLSv1.3 byggt á OpenSSL eða BoringSSL.
Heimild: opennet.ru