Ir izlaista nginx 1.23.2 galvenā filiāle, kuras ietvaros turpinās jaunu funkciju izstrāde, kā arī paralēli atbalstītā stabilā nginx 1.22.1 atzara izlaišana, kas ietver tikai izmaiņas, kas saistītas ar nopietnu kļūdu novēršanu un ievainojamības.
Jaunās versijas novērš divas ievainojamības (CVE-2022-41741, CVE-2022-41742) modulī ngx_http_mp4_module, ko izmanto, lai organizētu straumēšanu no failiem H.264/AAC formātā. Ievainojamības var izraisīt atmiņas bojājumus vai atmiņas noplūdi, apstrādājot īpaši izveidotu mp4 failu. Kā sekas tiek minēta darba procesa ārkārtas pārtraukšana, taču nav izslēgtas arī citas izpausmes, piemēram, koda izpildes organizēšana serverī.
Jāatzīmē, ka līdzīga ievainojamība jau tika novērsta modulī ngx_http_mp4_module 2012. gadā. Turklāt F5 ziņoja par līdzīgu ievainojamību (CVE-2022-41743) produktā NGINX Plus, kas ietekmē moduli ngx_http_hls_module, kas nodrošina HLS (Apple HTTP Live Streaming) protokola atbalstu.
Papildus ievainojamību novēršanai nginx 1.23.2 ir ierosinātas šādas izmaiņas:
- Pievienots atbalsts mainīgajiem “$proxy_protocol_tlv_*”, kas satur TLV (Type-Length-Value) lauku vērtības, kas parādās protokolā Type-Length-Value PROXY v2.
- Nodrošināta automātiska šifrēšanas atslēgu rotācija TLS sesijas biļetēm, ko izmanto, izmantojot koplietojamo atmiņu direktīvā ssl_session_cache.
- Ar nepareiziem SSL ierakstu tipiem saistīto kļūdu reģistrēšanas līmenis ir pazemināts no kritiskā uz informatīvo līmeni.
- Reģistrācijas līmenis ziņojumiem par nespēju piešķirt atmiņu jaunai sesijai ir mainīts no brīdinājuma uz brīdinājumu un ir ierobežots līdz viena ieraksta izvadīšanai sekundē.
- Windows platformā ir izveidota montāža ar OpenSSL 3.0.
- Uzlabota PROXY protokola kļūdu atspoguļošana žurnālā.
- Novērsta problēma, kuras dēļ direktīvā "ssl_session_timeout" norādītais taimauts nedarbojās, izmantojot TLSv1.3, pamatojoties uz OpenSSL vai BoringSSL.
Avots: opennet.ru