Nginx 1.21.0 жаңа негізгі тармағының бірінші шығарылымы ұсынылды, оның аясында жаңа мүмкіндіктерді дамыту жалғасады. Бұл ретте 1.20.1 қолдау көрсетілетін тұрақты тармақпен қатар түзеткіш шығарылым дайындалды, ол тек елеулі қателер мен осалдықтарды жоюға қатысты өзгерістерді енгізеді. Келесі жылы 1.21.x негізгі тармағының негізінде тұрақты 1.22 тармағы қалыптасады.
Жаңа нұсқалар DNS жүйесіндегі хост атауларын шешуге арналған кодтағы осалдықты (CVE-2021-23017) түзетеді, бұл бұзылуға немесе шабуылдаушы кодының ықтимал орындалуына әкелуі мүмкін. Мәселе белгілі бір DNS серверінің жауаптарын өңдеуде көрінеді, нәтижесінде бір байттық буфер толып кетеді. Осалдық тек “resolver” директивасын пайдаланып DNS шешуші параметрлерінде қосылған кезде пайда болады. Шабуыл жасау үшін шабуылдаушы DNS серверінен UDP пакеттерін алдау немесе DNS серверін басқару мүмкіндігін алуы керек. Осалдық nginx 0.6.18 шығарылымынан бері пайда болды. Ескі шығарылымдардағы мәселені шешу үшін патчты пайдалануға болады.
Nginx 1.21.0 жүйесіндегі қауіпсіздікке жатпайтын өзгерістер:
- Айнымалы қолдау "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" және "uwsgi_ssl_key_cer" директиваларына қосылды.
- Пошта прокси модулі бір қосылымда бірнеше POP3 немесе IMAP сұрауларын жіберуге арналған «құбырларды құру» қолдауын қосты, сонымен қатар қосылым жабылатын протокол қателерінің ең көп санын анықтайтын жаңа «max_errors» директивасын қосты.
- Тыңдау ұяшықтары үшін «TCP Fast Open» режимін қосатын ағындық модульге «fastopen» параметрі қосылды.
- Соңында қиғаш сызықты қосу арқылы автоматты қайта бағыттау кезінде арнайы таңбалардан құтылу мәселелері шешілді.
- SMTP конвейерін пайдалану кезінде клиенттерге қосылымдарды жабу мәселесі шешілді.
Ақпарат көзі: opennet.ru