È stata presentata la prima release del nuovo ramo principale di nginx 1.21.0, all'interno del quale proseguirà lo sviluppo di nuove funzionalità. Allo stesso tempo, parallelamente al ramo stabile supportato 1.20.1, è stata preparata una versione correttiva, che introduce solo modifiche relative all'eliminazione di errori e vulnerabilità gravi. L'anno prossimo, sulla base del ramo principale 1.21.x, verrà formato il ramo stabile 1.22.
Le nuove versioni risolvono una vulnerabilità (CVE-2021-23017) nel codice per la risoluzione dei nomi host nel DNS, che potrebbe portare a un arresto anomalo o alla potenziale esecuzione di codice di un utente malintenzionato. Il problema si manifesta nell'elaborazione di determinate risposte del server DNS, con conseguente overflow del buffer di un byte. La vulnerabilità appare solo se abilitata nelle impostazioni del risolutore DNS utilizzando la direttiva "resolver". Per sferrare un attacco l'aggressore deve essere in grado di falsificare i pacchetti UDP dal server DNS o di assumere il controllo del server DNS. La vulnerabilità è comparsa dal rilascio di nginx 0.6.18. È possibile utilizzare una patch per risolvere il problema nelle versioni precedenti.
Modifiche non legate alla sicurezza in nginx 1.21.0:
- È stato aggiunto il supporto variabile alle direttive "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" e "uwsgi_ssl_certificate_key".
- Il modulo proxy di posta ha aggiunto il supporto per il "pipelining" per l'invio di più richieste POP3 o IMAP in un'unica connessione, e ha anche aggiunto una nuova direttiva "max_errors", che definisce il numero massimo di errori di protocollo dopo il quale la connessione verrà chiusa.
- Aggiunto un parametro "fastopen" al modulo stream, abilitando la modalità "TCP Fast Open" per i socket in ascolto.
- Sono stati risolti i problemi con l'escape dei caratteri speciali durante i reindirizzamenti automatici aggiungendo una barra alla fine.
- Il problema relativo alla chiusura delle connessioni ai client quando si utilizza il pipelining SMTP è stato risolto.
Fonte: opennet.ru