ProHoster > blog > internetnieuws > Nginx 1.22.1 en 1.23.2 update met opgeloste kwetsbaarheden

Nginx 1.22.1 en 1.23.2 update met opgeloste kwetsbaarheden

De hoofdtak van nginx 1.23.2 is vrijgegeven, waarbinnen de ontwikkeling van nieuwe functies doorgaat, evenals de release van de parallel ondersteunde stabiele tak van nginx 1.22.1, die alleen wijzigingen bevat die verband houden met het elimineren van ernstige fouten en kwetsbaarheden.

De nieuwe versies elimineren twee kwetsbaarheden (CVE-2022-41741, CVE-2022-41742) in de ngx_http_mp4_module-module, die wordt gebruikt om het streamen van bestanden in het H.264/AAC-formaat te organiseren. De kwetsbaarheden kunnen leiden tot geheugenbeschadiging of geheugenlekken bij het verwerken van een speciaal vervaardigd mp4-bestand. Als gevolg hiervan wordt gesproken van een noodbeëindiging van een werkproces, maar andere verschijningsvormen zijn niet uitgesloten, zoals de organisatie van code-uitvoering op de server.

Het is opmerkelijk dat een soortgelijke kwetsbaarheid al in 4 werd opgelost in de ngx_http_mp2012_module module. Bovendien rapporteerde F5 een soortgelijke kwetsbaarheid (CVE-2022-41743) in het NGINX Plus-product, die gevolgen had voor de ngx_http_hls_module-module, die ondersteuning biedt voor het HLS-protocol (Apple HTTP Live Streaming).

Naast het elimineren van kwetsbaarheden, stelt nginx 1.23.2 de volgende wijzigingen voor:

  • Ondersteuning toegevoegd voor de variabelen “$proxy_protocol_tlv_*”, die de waarden bevatten van de TLV-velden (Type-Length-Value) die verschijnen in het Type-Length-Value PROXY v2-protocol.
  • Biedt automatische rotatie van encryptiesleutels voor TLS-sessietickets, gebruikt bij gebruik van gedeeld geheugen in de ssl_session_cache-instructie.
  • Het logniveau voor fouten die verband houden met onjuiste SSL-recordtypen is verlaagd van kritisch naar informatief niveau.
  • Het logniveau voor berichten over het onvermogen om geheugen toe te wijzen voor een nieuwe sessie is gewijzigd van waarschuwing naar waarschuwing en is beperkt tot het uitvoeren van één invoer per seconde.
  • Op het Windows-platform is montage met OpenSSL 3.0 tot stand gebracht.
  • Verbeterde weergave van PROXY-protocolfouten in het logboek.
  • Er is een probleem opgelost waarbij de time-out die is opgegeven in de richtlijn "ssl_session_timeout" niet werkte bij gebruik van TLSv1.3 op basis van OpenSSL of BoringSSL.

Bron: opennet.ru

Voeg een reactie