Nginx 1.23.2 негизги бутагы чыгарылды, анын алкагында жаңы функцияларды иштеп чыгуу улантылууда, ошондой эле nginx 1.22.1 параллелдүү колдоого алынган туруктуу бутагын чыгаруу, ал олуттуу каталарды жана олуттуу каталарды жоюуга байланыштуу өзгөртүүлөрдү гана камтыйт. алсыздыктар.
Жаңы версиялар H.264/AAC файлдарын агымдоо үчүн колдонулган ngx_http_mp4_module модулундагы эки алсыздыкты (CVE-2022-41741, CVE-2022-41742) оңдойт. Алсыздыктар атайын жасалган mp4 файлын иштетүүдө эс тутумдун бузулушуна же эс тутумдун агып кетишине алып келиши мүмкүн. Кесепеттери жумуш агымынын бузулушу катары айтылат, бирок кодду аткаруу сыяктуу башка көрүнүштөр да четте калбайт. сервер.
Белгилей кетчү нерсе, 4-жылы ngx_http_mp2012_module модулунда ушундай эле кемчилик оңдолгон. Кошумчалай кетсек, F5 HLS (Apple HTTP Live Streaming) протоколун колдоону камсыз кылган ngx_http_hls_module модулуна таасирин тийгизген NGINX Plus продуктусунда окшош (CVE-2022-41743) кемчиликти билдирди.
Аялуу жерлерди жок кылуудан тышкары, nginx 1.23.2де төмөнкүдөй өзгөртүүлөр сунушталат:
- Type-Length-Value PROXY v2 протоколунда пайда болгон TLV (Type-Length-Value) талааларынын маанилерин камтыган "$proxy_protocol_tlv_*" өзгөрмөлөрү үчүн колдоо кошулду.
- ssl_session_cache директивасында жалпы эстутумду колдонууда колдонулган TLS сессия билеттери үчүн шифрлөө ачкычтарынын автоматтык түрдө айлануусу камсыздалган.
- Жараксыз жазуу түрлөрүнө байланыштуу каталарды каттоо деңгээли SSL, маанилүү деңгээлден маалыматтык деңгээлге түшүрүлдү.
- Жаңы сеанс үчүн эстутумду бөлүштүрүү мүмкүн эместиги жөнүндө билдирүүлөрдү каттоо деңгээли эскертүүдөн эскертүүгө өзгөртүлдү жана секундасына бир жазууну чыгаруу менен чектелди.
- сахнада Windows OpenSSL 3.0 менен курулган версия туураланды.
- Прокси протоколунун каталарын журналда чагылдыруу жакшыртылды.
- OpenSSL же BoringSSL негизинде TLSv1.3 колдонууда "ssl_session_timeout" директивасында көрсөтүлгөн күтүү иштебей калган маселе оңдолду.
Source: opennet.ru
