מהדורות של Nginx 1.21.0 ו-nginx 1.20.1 עם תיקון פגיעות

הוצגה המהדורה הראשונה של הסניף הראשי החדש של nginx 1.21.0, במסגרתה הפיתוח של תכונות חדשות ימשיך. במקביל, הוכן שחרור מתקן במקביל לענף היציב הנתמך 1.20.1, שמכניס רק שינויים הקשורים לביטול שגיאות ופגיעויות חמורות. בשנה הבאה, על בסיס הסניף הראשי 1.21.x, יווצר סניף יציב 1.22.

הגרסאות החדשות מתקנות פגיעות (CVE-2021-23017) בקוד לפתרון שמות מארחים ב-DNS, שעלולה להוביל לקריסה או לביצוע פוטנציאל של קוד תוקף. הבעיה מתבטאת בעיבוד של תגובות מסוימות של שרת ה-DNS וכתוצאה מכך להצפת מאגר של בייט אחד. הפגיעות מופיעה רק כאשר היא מופעלת בהגדרות פותר ה-DNS באמצעות הנחיית ה"פותר". כדי לבצע תקיפה, תוקף חייב להיות מסוגל לזייף מנות UDP משרת ה-DNS או להשיג שליטה על שרת ה-DNS. הפגיעות הופיעה מאז שחרורו של nginx 0.6.18. ניתן להשתמש בתיקון כדי לתקן את הבעיה במהדורות ישנות יותר.

שינויים שאינם אבטחה ב-nginx 1.21.0:

• תמיכה משתנים נוספה להנחיות "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" ו-"uwsgi_ssl_certificate_key".
• מודול הדואר פרוקסי הוסיף תמיכה ב-"pipelining" לשליחת בקשות POP3 או IMAP מרובות בחיבור בודד, וכן הוסיפה הנחיה חדשה "max_errors", המגדירה את המספר המרבי של שגיאות פרוטוקול שאחריהן ייסגר החיבור.
• הוסיף פרמטר "fastopen" למודול הזרם, המאפשר מצב "TCP Fast Open" עבור שקעי האזנה.
• בעיות עם בריחה של תווים מיוחדים במהלך הפניות אוטומטיות על ידי הוספת קו נטוי בסוף נפתרו.
• הבעיה עם סגירת חיבורים ללקוחות בעת שימוש בצנרת SMTP נפתרה.

מקור: OpenNet.ru