취약점이 수정된 Nginx 1.22.1 및 1.23.2 업데이트

새로운 기능의 개발이 계속되는 nginx 1.23.2의 메인 브랜치가 출시되었을 뿐만 아니라 심각한 오류 제거와 관련된 변경 사항만 포함하는 nginx 1.22.1의 병렬 지원 안정 브랜치도 출시되었습니다. 취약점.

새 버전은 H.2022/AAC 형식의 파일에서 스트리밍을 구성하는 데 사용되는 ngx_http_mp41741_module 모듈의 두 가지 취약점(CVE-2022-41742, CVE-4-264)을 제거합니다. 이 취약성은 특수 제작된 mp4 파일을 처리할 때 메모리 손상 또는 메모리 누수로 이어질 수 있습니다. 결과적으로 작업 프로세스의 긴급 종료가 언급되지만 서버에서 코드 실행 구성과 같은 다른 징후도 배제되지 않습니다.

4년에 ngx_http_mp2012_module 모듈에서 유사한 취약점이 이미 수정되었다는 점은 주목할 만합니다. 또한 F5는 HLS(Apple HTTP 라이브 스트리밍) 프로토콜을 지원하는 ngx_http_hls_module 모듈에 영향을 미치는 NGINX Plus 제품의 유사한 취약점(CVE-2022-41743)을 보고했습니다.

취약점을 제거하는 것 외에도 nginx 1.23.2에서는 다음과 같은 변경 사항이 제안되었습니다.

• Type-Length-Value PROXY v2 프로토콜에 나타나는 TLV(Type-Length-Value) 필드의 값을 포함하는 "$proxy_protocol_tlv_*" 변수에 대한 지원이 추가되었습니다.
• ssl_session_cache 지시문에서 공유 메모리를 사용할 때 사용되는 TLS 세션 티켓에 대한 암호화 키의 자동 순환을 제공합니다.
• 잘못된 SSL 레코드 유형과 관련된 오류에 대한 로깅 수준이 중요 수준에서 정보 수준으로 낮아졌습니다.
• 새 세션에 메모리를 할당할 수 없다는 메시지의 로깅 수준이 경고에서 경고로 변경되었으며 초당 하나의 항목 출력으로 제한되었습니다.
• Windows 플랫폼에서는 OpenSSL 3.0을 사용한 어셈블리가 구축되었습니다.
• 로그에 PROXY 프로토콜 오류 반영이 개선되었습니다.
• OpenSSL 또는 BoringSSL 기반 TLSv1.3을 사용할 때 "ssl_session_timeout" 지시문에 지정된 시간 제한이 작동하지 않는 문제를 수정했습니다.

출처 : opennet.ru