Déi éischt Verëffentlechung vun der neier Haaptzweig vun nginx 1.21.0 gouf presentéiert, an deem d'Entwécklung vun neie Feature weider geet. Zur selwechter Zäit gouf eng Korrekturverëffentlechung parallel mat der ënnerstëtzter stabiler Branche 1.20.1 virbereet, déi nëmmen Verännerungen am Zesummenhang mat der Eliminatioun vu schlëmme Feeler a Schwachstelle virstellt. Nächst Joer, baséiert op der Haaptzweig 1.21.x, gëtt eng stabil Branche 1.22 geformt.
Déi nei Versioune fixéieren eng Schwachstelle (CVE-2021-23017) am Code fir Hostnamen an DNS ze léisen, wat zu engem Crash oder potenziell Ausféierung vum Ugräifercode kéint féieren. De Problem manifestéiert sech an der Veraarbechtung vu bestëmmten DNS-Server-Äntwerten, déi zu engem One-Byte-Puffer Iwwerfloss resultéieren. D'Schwachheet erschéngt nëmme wann et an den DNS-Resolver-Astellungen aktivéiert ass mat der "Resolver" Direktiv. Fir en Attack auszeféieren, muss en Angreifer fäeg sinn UDP-Pakete vum DNS-Server ze spoofen oder d'Kontroll vum DNS-Server ze kréien. D'Vulnerabilitéit ass zënter der Verëffentlechung vun nginx 0.6.18 erschéngt. E Patch kann benotzt ginn fir de Problem an eelere Verëffentlechungen ze fixéieren.
Net-Sécherheetsännerungen am nginx 1.21.0:
- Variabel Ënnerstëtzung gouf zu den Direktiven "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" an "uwsgi_ssl_certificate_key" bäigefüügt.
- De Mail Proxy Modul huet Ënnerstëtzung fir "Pipelining" bäigefüügt fir verschidde POP3 oder IMAP Ufroen an enger eenzeger Verbindung ze schécken, an och eng nei Direktiv "max_errors" bäigefüügt, déi d'maximal Unzuel vu Protokollfehler definéiert, no deenen d'Verbindung zougemaach gëtt.
- En "fastopen" Parameter op de Stream Modul bäigefüügt, fir "TCP Fast Open" Modus fir Sockets ze lauschteren.
- Probleemer mat der Flucht vu spezielle Charaktere wärend automatesch Viruleedungen andeems en Slash um Enn bäigefüügt goufe geléist.
- De Problem mat der Zoumaache vu Verbindunge mat Clienten wann Dir SMTP Pipelining benotzt, gouf geléist.
Source: opennet.ru