ProHoster > Blog > vaovao amin'ny Internet > Nginx 1.21.0 sy nginx 1.20.1 dia mivoaka miaraka amin'ny fanamboarana vulnerability

Nginx 1.21.0 sy nginx 1.20.1 dia mivoaka miaraka amin'ny fanamboarana vulnerability

Naseho ny famoahana voalohany ny sampana lehibe vaovao an'ny nginx 1.21.0, izay hitohizan'ny fampivoarana ireo endri-javatra vaovao. Mandritra izany fotoana izany, ny famoahana fanitsiana dia nomanina mifanaraka amin'ny sampana stable tohanana 1.20.1, izay mampiditra fanovana mifandraika amin'ny fanafoanana ny fahadisoana lehibe sy ny fahalemena ihany. Amin'ny taona manaraka, mifototra amin'ny sampana lehibe 1.21.x, dia hisy sampana stable 1.22 hiorina.

Ny dikan-teny vaovao dia manamboatra vulnerability (CVE-2021-23017) ao amin'ny kaody famahana ny anaran'ny mpampiantrano ao amin'ny DNS, izay mety hitarika fianjerana na mety hamono ny kaody mpanafika. Ny olana dia miseho amin'ny fanodinana ny valin'ny mpizara DNS sasany ka miteraka fihoaram-pefy iray-byte. Ny vulnerability dia miseho rehefa alefa ao amin'ny DNS solver setting amin'ny fampiasana ny torolΓ lana "resolver". Mba hanatanterahana fanafihana, ny mpanafika dia tsy maintsy afaka mandrombaka fonosana UDP avy amin'ny mpizara DNS na mahazo fifehezana ny mpizara DNS. Ny vulnerability dia niseho nanomboka tamin'ny famoahana ny nginx 0.6.18. Ny patch dia azo ampiasaina hamahana ny olana amin'ny famoahana taloha.

Fiovana tsy misy fiarovana amin'ny nginx 1.21.0:

  • Ny fanohanana miovaova dia nampiana ny torolΓ lana "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" ary "uwsgi_ssl_key_certificate".
  • Ny maody proxy mailaka dia nanampy fanohanana ho an'ny "pipelining" amin'ny fandefasana fangatahana POP3 na IMAP marobe amin'ny fifandraisana tokana, ary koa nanampy torolΓ lana vaovao "max_errors", izay mamaritra ny isa ambony indrindra amin'ny fahadisoana protocol aorian'ny fanakatonana ny fifandraisana.
  • Nampiana mari-pamantarana "fastopen" ho an'ny maody stream, ahafahana manao "TCP Fast Open" ho an'ny socket fihainoana.
  • Voavaha ny olana amin'ny fandosirana tarehin-tsoratra manokana mandritra ny fampidinana mandeha ho azy amin'ny fampidirana slash amin'ny farany.
  • Ny olana amin'ny fanakatonana ny fifandraisana amin'ny mpanjifa rehefa mampiasa SMTP pipelining dia voavaha.

Source: opennet.ru

Add a comment