Ir izlaista jaunās nginx 1.21.0 galvenās atzara pirmā versija, kas turpinās izstrādāt jaunas funkcijas. Ir sagatavota paralēlās stabilās atzara 1.20.1 uzturēšanas versija, ieviešot tikai izmaiņas, kas saistītas ar nopietnu kļūdu un ievainojamību novēršanu. Nākamgad stabilā atzara 1.22 tiks veidota no galvenās 1.21.x atzara.
Jaunās versijas novērš DNS resursdatora nosaukuma atrisināšanas koda ievainojamību (CVE-2021-23017), kas var izraisīt avāriju vai potenciāli uzbrucēja koda izpildi. Problēma izpaužas noteiktu DNS servera atbilžu apstrādē, kā rezultātā rodas viena baita bufera pārpilde. Ievainojamība izpaužas tikai tad, ja DNS atrisinātājs ir iespējots direktīvā "atrisinātājs". Lai veiktu uzbrukumu, uzbrucējam ir jāspēj viltot UDP paketes no DNS servera vai iegūt kontroli pār DNS serveri. Ievainojamība izpaužas, sākot ar nginx 0.6.18. Vecākās versijās problēmas novēršanai var izmantot ielāpu.
Ar drošību nesaistītas izmaiņas nginx 1.21.0 versijā:
- Mainīgo atbalsts ir pievienots direktīvām "proxy_ssl_certificate", "proxy_ssl_certificate_key" "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" un "uwsgi_ssl_certificate_key".
- Pasta starpniekservera modulis tagad atbalsta "pipelining" vairāku POP3 vai IMAP pieprasījumu nosūtīšanai vienā savienojumā, un ir pievienota jauna "max_errors" direktīva, kas norāda maksimālo protokola kļūdu skaitu, pēc kura savienojums tiks slēgts.
- Straumes modulim ir pievienots parametrs "fastopen", kas aktivizē "TCP Fast Open" režīmu klausīšanās ligzdām.
- Novērstas problēmas ar speciālo rakstzīmju atsoļu automātiskās pāradresācijas laikā, pievienojot beigās slīpsvītru.
- Novērsta problēma, kuras dēļ, izmantojot SMTP pipelining, tika pārtraukti klienta savienojumi.
Avots: opennet.ru
