ProHoster > Blog > internetnieuws > Nginx 1.22.1 en 1.23.2 update met opgeloste kwetsbaarheden

Nginx 1.22.1 en 1.23.2 update met opgeloste kwetsbaarheden

De hoofdtak van nginx 1.23.2 is uitgebracht, waarin nieuwe functies worden ontwikkeld, en ook de parallelle stabiele tak van nginx 1.22.1, die alleen wijzigingen bevat die betrekking hebben op het verhelpen van ernstige fouten en kwetsbaarheden.

De nieuwe versies verhelpen twee beveiligingslekken (CVE-2022-41741, CVE-2022-41742) in de ngx_http_mp4_module, die wordt gebruikt voor het streamen van H.264/AAC-bestanden. Deze lekken kunnen leiden tot geheugenbeschadiging of geheugenlekken bij het verwerken van een speciaal geprepareerd mp4-bestand. De gevolgen worden omschreven als een vastlopen van de workflow, maar andere manifestaties, zoals het uitvoeren van code, worden niet uitgesloten. server.

Het is opmerkelijk dat een vergelijkbare kwetsbaarheid al in 4 is opgelost in de module ngx_http_mp2012_module. Daarnaast rapporteerde F5 een vergelijkbare kwetsbaarheid (CVE-2022-41743) in het NGINX Plus-product, die betrekking heeft op de module ngx_http_hls_module, die ondersteuning biedt voor het HLS-protocol (Apple HTTP Live Streaming).

Naast het oplossen van kwetsbaarheden in nginx 1.23.2 worden de volgende wijzigingen voorgesteld:

  • Ondersteuning toegevoegd voor de variabelen "$proxy_protocol_tlv_*", waarin de waarden van de TLV-velden (Type-Length-Value) worden opgeslagen die zijn opgenomen in het Type-Length-Value PROXY v2-protocol.
  • Automatische rotatie van encryptiesleutels voor TLS-sessietickets is voorzien bij gebruik van gedeeld geheugen in de ssl_session_cache-richtlijn.
  • Logniveau voor fouten met betrekking tot ongeldige recordtypen SSL, gedegradeerd van kritiek naar informatief niveau.
  • Het logniveau voor berichten over het mislukken van het toewijzen van geheugen voor een nieuwe sessie is gewijzigd van waarschuwing naar waarschuwing en is beperkt tot één vermelding per seconde.
  • Op het platform Windows De build met OpenSSL 3.0 is aangepast.
  • De weergave van PROXY-protocolfouten in het logboek is aangepast.
  • Er is een probleem opgelost waarbij de time-out die is opgegeven in de richtlijn "ssl_session_timeout" niet werkte bij gebruik van TLSv1.3 op basis van OpenSSL of BoringSSL.

Bron: opennet.ru

Koop betrouwbare hosting voor sites met DDoS-bescherming, VPS VDS-servers 🔥 Koop betrouwbare websitehosting met DDoS-bescherming, VPS- en VDS-servers | ProHoster