Nginx 1.23.2-ын үндсэн салбар гарсан бөгөөд үүний хүрээнд шинэ боломжуудыг хөгжүүлэх ажил үргэлжилж байгаа бөгөөд nginx 1.22.1-ийн зэрэгцээ дэмжигдсэн тогтвортой салбарыг гаргасан бөгөөд үүнд зөвхөн ноцтой алдаа, алдааг арилгахтай холбоотой өөрчлөлтүүд багтсан болно. эмзэг байдал.
Шинэ хувилбарууд нь ngx_http_mp2022_module модулийн H.41741/AAC форматтай файлуудаас дамжуулалтыг зохион байгуулахад ашигладаг хоёр эмзэг байдлыг (CVE-2022-41742, CVE-4-264) арилгасан. Энэ эмзэг байдал нь тусгайлан боловсруулсан mp4 файлыг боловсруулах үед санах ойн эвдрэл эсвэл санах ойн алдагдалд хүргэж болзошгүй юм. Үүний үр дагавар нь ажлын процессыг яаралтай зогсоох тухай дурдсан боловч сервер дээр код гүйцэтгэх зохион байгуулалт гэх мэт бусад илрэлүүдийг үгүйсгэхгүй.
Үүнтэй төстэй эмзэг байдлыг 4 онд ngx_http_mp2012_module модульд аль хэдийн зассан нь анхаарал татаж байна. Нэмж дурдахад, F5 нь NGINX Plus бүтээгдэхүүнд HLS (Apple HTTP Live Streaming) протоколд дэмжлэг үзүүлдэг ngx_http_hls_module модульд нөлөөлсөн ижил төстэй (CVE-2022-41743) эмзэг байдлын талаар мэдээлсэн.
Эмзэг байдлыг арилгахаас гадна nginx 1.23.2-д дараах өөрчлөлтүүдийг санал болгож байна.
- Type-Length-Value PROXY v2 протоколд гарч буй TLV (Type-Length-Value) талбаруудын утгыг агуулсан "$proxy_protocol_tlv_*" хувьсагчдад дэмжлэг нэмсэн.
- ssl_session_cache удирдамжийн дундын санах ойг ашиглах үед ашигладаг TLS сессийн тасалбарын шифрлэлтийн түлхүүрүүдийг автоматаар эргүүлэх боломжийг олгосон.
- Буруу SSL бичлэгийн төрлүүдтэй холбоотой алдааны бүртгэлийн түвшинг эгзэгтэй байдлаас мэдээллийн түвшин хүртэл бууруулсан.
- Шинэ сессэд санах ойг хуваарилах боломжгүй тухай мессежийн бүртгэлийн түвшинг дохиололоос сэрэмжлүүлэх болгон өөрчилсөн бөгөөд секундэд нэг оруулга гаргахаар хязгаарласан.
- Windows платформ дээр OpenSSL 3.0-тэй угсралт хийгдсэн.
- Прокси протоколын алдааг бүртгэлд тусгах нь сайжирсан.
- OpenSSL эсвэл BoringSSL дээр суурилсан TLSv1.3-г ашиглах үед "ssl_session_timeout" зааварт заасан хугацаа ажиллахгүй байсан асуудлыг зассан.
Эх сурвалж: opennet.ru