D'Haaptzweig vun nginx 1.23.2 gouf verëffentlecht, an deem d'Entwécklung vun neie Feature weider geet, souwéi d'Verëffentlechung vun der parallel ënnerstëtzt stabiler Branche vun nginx 1.22.1, déi nëmmen Ännerunge mat der Eliminatioun vu schlëmme Feeler an Schwachstelle.
Déi nei Versiounen eliminéieren zwee Schwachstelle (CVE-2022-41741, CVE-2022-41742) am ngx_http_mp4_module Modul, benotzt fir Streaming vu Dateien am H.264/AAC Format ze organiséieren. D'Schwachstelle kënnen zu Erënnerungskorruptioun oder Erënnerungsleck féieren wann Dir eng speziell erstallt mp4 Datei veraarbecht. Als Konsequenz gëtt eng Noutkündung vun engem Aarbechtsprozess ernimmt, awer aner Manifestatiounen sinn net ausgeschloss, sou wéi d'Organisatioun vun der Code Ausféierung um Server.
Et ass bemierkenswäert datt eng ähnlech Schwachstelle schonn am ngx_http_mp4_module Modul am 2012 fixéiert gouf. Zousätzlech huet F5 eng ähnlech Schwachstelle (CVE-2022-41743) am NGINX Plus Produkt gemellt, wat den ngx_http_hls_module Modul beaflosst, deen Ënnerstëtzung fir den HLS (Apple HTTP Live Streaming) Protokoll ubitt.
Zousätzlech fir Schwachstelle ze eliminéieren, ginn déi folgend Ännerungen am nginx 1.23.2 proposéiert:
- Zousätzlech Ënnerstëtzung fir d'"$proxy_protocol_tlv_*" Variabelen, déi d'Wäerter vun den TLV (Type-Length-Value) Felder enthalen déi am Type-Length-Value PROXY v2 Protokoll erscheinen.
- Gitt automatesch Rotatioun vu Verschlësselungsschlësselen fir TLS Sessiounsticketen, benotzt wann Dir gedeelt Erënnerung an der ssl_session_cache Direktiv benotzt.
- De Logbicherniveau fir Feeler am Zesummenhang mat falschen SSL Rekordtypen ass vu kriteschen op Informatiounsniveau erofgesat ginn.
- De Logbicherniveau fir Messagen iwwer d'Onméiglechkeet fir Erënnerung fir eng nei Sessioun ze verdeelen gouf vun Alarm op Warnung geännert an ass limitéiert fir eng Entrée pro Sekonn auszeginn.
- Op der Windows Plattform ass d'Versammlung mat OpenSSL 3.0 etabléiert.
- Verbesserte Reflexioun vu PROXY Protokollfehler am Logbuch.
- E Problem fixéiert wou den Timeout, deen an der Direktiv "ssl_session_timeout" spezifizéiert ass, net funktionnéiert huet wann Dir TLSv1.3 benotzt baséiert op OpenSSL oder BoringSSL.
Source: opennet.ru