🥇עדכון nginx 1.22.1 ו- 1.23.2 עם פגיעויות מתוקנות

הענף הראשי של nginx 1.23.2 שוחרר, שבתוכו נמשך הפיתוח של תכונות חדשות, כמו גם שחרורו של הענף היציב הנתמך המקביל של nginx 1.22.1, הכולל רק שינויים הקשורים לביטול שגיאות חמורות ו פגיעויות.

הגרסאות החדשות מבטלות שתי נקודות תורפה (CVE-2022-41741, CVE-2022-41742) במודול ngx_http_mp4_module, המשמש לארגון סטרימינג מקבצים בפורמט H.264/AAC. הפגיעויות עלולות להוביל לפגיעה בזיכרון או לדליפת זיכרון בעת עיבוד קובץ mp4 בעל מבנה מיוחד. סיום חירום של תהליך עבודה מוזכר כתוצאה מכך, אך ביטויים אחרים אינם נכללים, כגון ארגון ביצוע קוד בשרת.

ראוי לציין שפגיעות דומה כבר תוקנה במודול ngx_http_mp4_module ב-2012. בנוסף, F5 דיווח על פגיעות דומה (CVE-2022-41743) במוצר NGINX Plus, המשפיעה על מודול ngx_http_hls_module, המספק תמיכה בפרוטוקול HLS (Apple HTTP Live Streaming).

בנוסף לביטול פגיעויות, השינויים הבאים מוצעים ב-nginx 1.23.2:

נוספה תמיכה במשתני "$proxy_protocol_tlv_*", המכילים את הערכים של שדות TLV (Type-Length-Value) המופיעים בפרוטוקול Type-Length-Value PROXY v2.
סיפק סיבוב אוטומטי של מפתחות הצפנה עבור כרטיסי הפעלה של TLS, בשימוש בעת שימוש בזיכרון משותף בהנחיית ssl_session_cache.
רמת הרישום עבור שגיאות הקשורות לסוגי רשומות SSL שגויים ירדה מרמה קריטית לרמת מידע.
רמת הרישום של הודעות על חוסר היכולת להקצות זיכרון להפעלה חדשה שונתה מהתראה להתראה והיא מוגבלת להוצאת ערך אחד בשנייה.
בפלטפורמת Windows, הוקמה הרכבה עם OpenSSL 3.0.
השתקפות משופרת של שגיאות פרוטוקול PROXY ביומן.
תוקנה בעיה שבה פסק הזמן שצוין בהנחיית "ssl_session_timeout" לא עבד בעת שימוש ב-TLSv1.3 המבוסס על OpenSSL או BoringSSL.

מקור: OpenNet.ru

עדכון Nginx 1.22.1 ו-1.23.2 עם פגיעויות מתוקנות

הוספת תגובה ביטול תגובה