Nginx 1.22.1 un 1.23.2 atjauninājums ar labotu ievainojamību

Ir izlaista nginx 1.23.2 galvenā filiāle, kuras ietvaros turpinās jaunu funkciju izstrāde, kā arī paralēli atbalstītā stabilā nginx 1.22.1 atzara izlaišana, kas ietver tikai izmaiņas, kas saistītas ar nopietnu kļūdu novēršanu un ievainojamības.

Jaunās versijas novērš divas ievainojamības (CVE-2022-41741, CVE-2022-41742) ngx_http_mp4_module modulī, kas tiek izmantots H.264/AAC failu straumēšanai. Šīs ievainojamības var izraisīt atmiņas bojājumus vai atmiņas noplūdes, apstrādājot speciāli izveidotu mp4 failu. Sekas tiek minētas kā darbplūsmas avārija, taču nav izslēgtas arī citas izpausmes, piemēram, koda izpilde. serveris.

Jāatzīmē, ka līdzīga ievainojamība jau tika novērsta modulī ngx_http_mp4_module 2012. gadā. Turklāt F5 ziņoja par līdzīgu ievainojamību (CVE-2022-41743) produktā NGINX Plus, kas ietekmē moduli ngx_http_hls_module, kas nodrošina HLS (Apple HTTP Live Streaming) protokola atbalstu.

Papildus ievainojamību novēršanai nginx 1.23.2 ir ierosinātas šādas izmaiņas:

• Pievienots atbalsts mainīgajiem “$proxy_protocol_tlv_*”, kas satur TLV (Type-Length-Value) lauku vērtības, kas parādās protokolā Type-Length-Value PROXY v2.
• Nodrošināta automātiska šifrēšanas atslēgu rotācija TLS sesijas biļetēm, ko izmanto, izmantojot koplietojamo atmiņu direktīvā ssl_session_cache.
• Kļūdu reģistrēšanas līmenis, kas saistīts ar nederīgiem ierakstu tipiem SSL, pazemināts no kritiskā uz informatīvo līmeni.
• Reģistrācijas līmenis ziņojumiem par nespēju piešķirt atmiņu jaunai sesijai ir mainīts no brīdinājuma uz brīdinājumu un ir ierobežots līdz viena ieraksta izvadīšanai sekundē.
• Windows platformā ir izveidota montāža ar OpenSSL 3.0.
• Uzlabota PROXY protokola kļūdu atspoguļošana žurnālā.
• Novērsta problēma, kuras dēļ direktīvā "ssl_session_timeout" norādītais taimauts nedarbojās, izmantojot TLSv1.3, pamatojoties uz OpenSSL vai BoringSSL.

Avots: opennet.ru