Cabang utama nginx 1.23.2 wis dirilis, ing ngendi pangembangan fitur-fitur anyar terus, uga rilis cabang stabil sing didhukung paralel saka nginx 1.22.1, sing mung kalebu owah-owahan sing ana hubungane karo penghapusan kesalahan serius lan vulnerabilities.
Versi anyar ngilangi rong kerentanan (CVE-2022-41741, CVE-2022-41742) ing modul ngx_http_mp4_module, digunakake kanggo ngatur streaming saka file ing format H.264/AAC. Kerentanan kasebut bisa nyebabake korupsi memori utawa bocor memori nalika ngolah file mp4 sing digawe khusus. Penghentian darurat proses kerja kasebut minangka akibat, nanging manifestasi liyane ora dikecualekake, kayata organisasi eksekusi kode ing server.
Wigati dimangerteni manawa kerentanan sing padha wis didandani ing modul ngx_http_mp4_module ing 2012. Kajaba iku, F5 nglaporake kerentanan sing padha (CVE-2022-41743) ing produk NGINX Plus, mengaruhi modul ngx_http_hls_module, sing nyedhiyakake dhukungan kanggo protokol HLS (Apple HTTP Live Streaming).
Saliyane ngilangi kerentanan, nginx 1.23.2 ngusulake owah-owahan ing ngisor iki:
- Dhukungan ditambahake kanggo variabel "$proxy_protocol_tlv_*", sing ngemot nilai kolom TLV (Type-Length-Value) sing katon ing protokol Type-Length-Value PROXY v2.
- Nyedhiyakake rotasi otomatis tombol enkripsi kanggo tiket sesi TLS, digunakake nalika nggunakake memori sambungan ing ssl_session_cache arahan.
- Tingkat logging kanggo kesalahan sing ana gandhengane karo jinis rekaman SSL sing salah wis diturunake saka tingkat kritis menyang tingkat informasi.
- Tingkat logging kanggo pesen babagan ora bisa ngalokasi memori kanggo sesi anyar wis diganti saka tandha kanggo ngelingake lan diwatesi kanggo ngasilake siji entri saben detik.
- Ing platform Windows, perakitan karo OpenSSL 3.0 wis ditetepake.
- Ngapikake refleksi kesalahan protokol PROXY ing log.
- Ndandani masalah nalika wektu entek sing ditemtokake ing arahan "ssl_session_timeout" ora bisa digunakake nalika nggunakake TLSv1.3 adhedhasar OpenSSL utawa BoringSSL.
Source: opennet.ru