Keluaran pertama cawangan utama baru nginx 1.21.0 telah dibentangkan, di mana pembangunan ciri baharu akan diteruskan. Pada masa yang sama, keluaran pembetulan disediakan selari dengan cawangan stabil 1.20.1 yang disokong, yang hanya memperkenalkan perubahan yang berkaitan dengan penghapusan ralat dan kelemahan yang serius. Tahun depan, berdasarkan cawangan utama 1.21.x, cawangan stabil 1.22 akan dibentuk.
Versi baharu membetulkan kerentanan (CVE-2021-23017) dalam kod untuk menyelesaikan nama hos dalam DNS, yang boleh membawa kepada ranap sistem atau berkemungkinan melaksanakan kod penyerang. Masalahnya nyata dalam pemprosesan respons pelayan DNS tertentu yang mengakibatkan limpahan penimbal satu bait. Kerentanan hanya muncul apabila didayakan dalam tetapan penyelesai DNS menggunakan arahan "penyelesai". Untuk melakukan serangan, penyerang mesti boleh memalsukan paket UDP daripada pelayan DNS atau mendapatkan kawalan ke atas pelayan DNS. Kerentanan telah muncul sejak keluaran nginx 0.6.18. Tampalan boleh digunakan untuk menyelesaikan masalah dalam keluaran lama.
Perubahan bukan keselamatan dalam nginx 1.21.0:
- Sokongan pembolehubah telah ditambahkan pada arahan "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" dan "uwsgi_ssl_key_certificate".
- Modul proksi mel telah menambah sokongan untuk "penyambungan paip" untuk menghantar berbilang permintaan POP3 atau IMAP dalam satu sambungan, dan juga menambah arahan baharu "max_errors", yang mentakrifkan bilangan maksimum ralat protokol selepas sambungan itu akan ditutup.
- Menambahkan parameter "fastopen" pada modul strim, mendayakan mod "TCP Fast Open" untuk soket mendengar.
- Masalah dengan melarikan diri daripada aksara khas semasa ubah hala automatik dengan menambahkan garis miring pada penghujung telah diselesaikan.
- Masalah dengan menutup sambungan kepada pelanggan apabila menggunakan saluran paip SMTP telah diselesaikan.
Sumber: opennet.ru