Fyrsta útgáfan af nýju aðalútibúi nginx 1.21.0 hefur verið kynnt, þar sem þróun nýrra eiginleika mun halda áfram. Jafnframt var útbúin leiðréttingarútgáfa samhliða studdu stöðugu greininni 1.20.1, sem aðeins kynnir breytingar sem tengjast útrýmingu alvarlegra villna og veikleika. Á næsta ári, miðað við aðalgrein 1.21.x, verður stofnuð stöðug útibú 1.22.
Nýju útgáfurnar laga varnarleysi (CVE-2021-23017) í kóðanum til að leysa hýsingarnöfn í DNS, sem gæti leitt til hruns eða hugsanlega keyrslu árásarkóða. Vandamálið lýsir sér í vinnslu ákveðinna DNS netþjónaviðbragða sem leiða til eins bætis biðminni yfirflæðis. Varnarleysið birtist aðeins þegar það er virkjað í stillingum DNS lausnar með því að nota „resolver“ tilskipunina. Til að framkvæma árás verður árásarmaður að geta svikið UDP-pakka frá DNS-þjóninum eða fengið stjórn á DNS-þjóninum. Varnarleysið hefur birst frá útgáfu nginx 0.6.18. Hægt er að nota plástur til að laga vandamálið í eldri útgáfum.
Óöryggisbreytingar í nginx 1.21.0:
- Breytilegum stuðningi hefur verið bætt við tilskipanirnar „proxy_ssl_certificate“, „proxy_ssl_certificate_key“, „grpc_ssl_certificate“, „grpc_ssl_certificate_key“, „uwsgi_ssl_certificate“ og „uwsgi_ssl_certificate_key“.
- Póst umboðseiningin hefur bætt við stuðningi við „leiðsla“ til að senda margar POP3 eða IMAP beiðnir í einni tengingu, og einnig bætt við nýrri tilskipun „max_errors“ sem skilgreinir hámarksfjölda samskiptavillna sem tengingin verður lokuð eftir.
- Bætti „fastopen“ færibreytu við straumeininguna, sem gerir „TCP Fast Open“ stillingu kleift fyrir hlustunarinnstungur.
- Vandamál með að sleppa sértáknum við sjálfvirka tilvísun með því að bæta við skástrik í lokin hafa verið leyst.
- Vandamálið við að loka tengingum við viðskiptavini þegar SMTP leiðsla er notuð hefur verið leyst.
Heimild: opennet.ru