ProHoster > Blog > berita internet > Kemas kini Nginx 1.22.1 dan 1.23.2 dengan kelemahan diperbaiki

Kemas kini Nginx 1.22.1 dan 1.23.2 dengan kelemahan diperbaiki

Cawangan utama nginx 1.23.2 telah dikeluarkan, di mana pembangunan ciri baharu diteruskan, serta pelepasan cabang stabil selari yang disokong nginx 1.22.1, yang hanya merangkumi perubahan yang berkaitan dengan penghapusan ralat serius dan kelemahan.

Versi baharu menghapuskan dua kelemahan (CVE-2022-41741, CVE-2022-41742) dalam modul ngx_http_mp4_module, yang digunakan untuk mengatur penstriman daripada fail dalam format H.264/AAC. Kerentanan itu boleh menyebabkan kerosakan memori atau kebocoran memori apabila memproses fail mp4 yang direka khas. Penamatan kecemasan proses kerja disebut sebagai akibatnya, tetapi manifestasi lain tidak dikecualikan, seperti organisasi pelaksanaan kod pada pelayan.

Perlu diperhatikan bahawa kelemahan yang sama telah pun diperbaiki dalam modul ngx_http_mp4_module pada tahun 2012. Selain itu, F5 melaporkan kerentanan yang serupa (CVE-2022-41743) dalam produk NGINX Plus, yang menjejaskan modul ngx_http_hls_module, yang menyediakan sokongan untuk protokol HLS (Apple HTTP Live Streaming).

Selain menghapuskan kelemahan, perubahan berikut dicadangkan dalam nginx 1.23.2:

  • Menambah sokongan untuk pembolehubah "$proxy_protocol_tlv_*", yang mengandungi nilai medan TLV (Type-Length-Value) yang muncul dalam protokol Type-Length-Value PROXY v2.
  • Menyediakan putaran automatik kunci penyulitan untuk tiket sesi TLS, digunakan apabila menggunakan memori kongsi dalam arahan ssl_session_cache.
  • Tahap pengelogan untuk ralat yang berkaitan dengan jenis rekod SSL yang salah telah diturunkan daripada tahap kritikal kepada tahap maklumat.
  • Tahap pengelogan untuk mesej tentang ketidakupayaan untuk memperuntukkan memori untuk sesi baharu telah ditukar daripada amaran kepada amaran dan terhad kepada mengeluarkan satu entri sesaat.
  • Pada platform Windows, pemasangan dengan OpenSSL 3.0 telah diwujudkan.
  • Refleksi ralat protokol PROXY yang dipertingkatkan dalam log.
  • Memperbaiki isu apabila tamat masa yang dinyatakan dalam arahan "ssl_session_timeout" tidak berfungsi apabila menggunakan TLSv1.3 berdasarkan OpenSSL atau BoringSSL.

Sumber: opennet.ru

Tambah komen