nginx 1.21.0 の新しいメイン ブランチの最初のリリースが発表され、その中で新機能の開発が継続されます。 同時に、サポートされている安定版ブランチ 1.20.1 と並行して修正リリースが準備されました。これは、重大なエラーと脆弱性の排除に関連する変更のみを導入します。 来年、メイン ブランチ 1.21.x に基づいて、安定版ブランチ 1.22 が形成される予定です。
新しいバージョンでは、DNS でホスト名を解決するコードの脆弱性 (CVE-2021-23017) が修正されており、クラッシュや攻撃者のコードの実行につながる可能性があります。 この問題は、特定の DNS サーバー応答の処理で発生し、0.6.18 バイトのバッファ オーバーフローが発生します。 この脆弱性は、「resolver」ディレクティブを使用して DNS リゾルバー設定が有効になっている場合にのみ表示されます。 攻撃を実行するには、攻撃者が DNS サーバーから UDP パケットをスプーフィングするか、DNS サーバーの制御を取得できる必要があります。 この脆弱性はnginx XNUMXのリリース以降に出現しました。 パッチを使用すると、古いリリースの問題を修正できます。
nginx 1.21.0 でのセキュリティ以外の変更:
- 変数サポートがディレクティブ「proxy_ssl_certificate」、「proxy_ssl_certificate_key」、「grpc_ssl_certificate」、「grpc_ssl_certificate_key」、「uwsgi_ssl_certificate」および「uwsgi_ssl_certificate_key」に追加されました。
- メール プロキシ モジュールには、単一の接続で複数の POP3 または IMAP リクエストを送信するための「パイプライン」のサポートが追加されました。また、接続が閉じられるまでのプロトコル エラーの最大数を定義する新しいディレクティブ「max_errors」も追加されました。
- ストリーム モジュールに「fastopen」パラメータを追加し、リスニング ソケットの「TCP Fast Open」モードを有効にしました。
- 自動リダイレクト中に最後にスラッシュを追加することによって特殊文字をエスケープする問題は解決されました。
- SMTP パイプラインの使用時にクライアントへの接続を閉じる問題は解決されました。
出所: オープンネット.ru