ProHoster > blog > notizie internet > Aggiornamento Nginx 1.22.1 e 1.23.2 con vulnerabilità risolte

Aggiornamento Nginx 1.22.1 e 1.23.2 con vulnerabilità risolte

È stato rilasciato il ramo principale di nginx 1.23.2, all'interno del quale continua lo sviluppo di nuove funzionalità, nonché il rilascio del ramo stabile supportato in parallelo di nginx 1.22.1, che include solo modifiche relative all'eliminazione di errori gravi e vulnerabilità.

Le nuove versioni eliminano due vulnerabilità (CVE-2022-41741, CVE-2022-41742) nel modulo ngx_http_mp4_module, utilizzato per organizzare lo streaming da file in formato H.264/AAC. Le vulnerabilità potrebbero portare al danneggiamento o alla perdita di memoria della memoria durante l'elaborazione di un file mp4 appositamente predisposto. Di conseguenza viene menzionata l'interruzione urgente di un processo di lavoro, ma non sono escluse altre manifestazioni, come l'organizzazione dell'esecuzione del codice sul server.

È interessante notare che una vulnerabilità simile era già stata risolta nel modulo ngx_http_mp4_module nel 2012. Inoltre, F5 ha segnalato una vulnerabilità simile (CVE-2022-41743) nel prodotto NGINX Plus, che interessa il modulo ngx_http_hls_module, che fornisce supporto per il protocollo HLS (Apple HTTP Live Streaming).

Oltre ad eliminare le vulnerabilità, in nginx 1.23.2 vengono proposte le seguenti modifiche:

  • Aggiunto il supporto per le variabili “$proxy_protocol_tlv_*”, che contengono i valori dei campi TLV (Type-Length-Value) che compaiono nel protocollo Type-Length-Value PROXY v2.
  • Fornita rotazione automatica delle chiavi di crittografia per i ticket di sessione TLS, utilizzata quando si utilizza la memoria condivisa nella direttiva ssl_session_cache.
  • Il livello di registrazione degli errori relativi a tipi di record SSL errati è stato abbassato dal livello critico a quello informativo.
  • Il livello di registrazione per i messaggi relativi all'impossibilità di allocare memoria per una nuova sessione è stato modificato da avviso ad avviso ed è limitato all'output di una voce al secondo.
  • Sulla piattaforma Windows è stato stabilito l'assemblaggio con OpenSSL 3.0.
  • Riflessione migliorata degli errori del protocollo PROXY nel registro.
  • Risolto un problema per cui il timeout specificato nella direttiva "ssl_session_timeout" non funzionava quando si utilizzava TLSv1.3 basato su OpenSSL o BoringSSL.

Fonte: opennet.ru

Aggiungi un commento