ProHoster > Blog > internetnieuws > nginx 1.21.0 en nginx 1.20.1 releases met kwetsbaarheidsoplossing

nginx 1.21.0 en nginx 1.20.1 releases met kwetsbaarheidsoplossing

De eerste release van de nieuwe hoofdbranch nginx 1.21.0 is uitgebracht, waarin nieuwe features verder worden ontwikkeld. Tegelijkertijd is een correctieve release van de parallel ondersteunde stabiele branch 1.20.1 voorbereid, waarin alleen wijzigingen met betrekking tot het verhelpen van ernstige fouten en kwetsbaarheden worden geïntroduceerd. Volgend jaar wordt de stabiele branch 1.21 gevormd op basis van de hoofdbranch 1.22.x.

De nieuwe versies verhelpen een kwetsbaarheid (CVE-2021-23017) in de code voor het omzetten van hostnamen in DNS, wat kan leiden tot een crash of mogelijk tot de uitvoering van code van een aanvaller. Het probleem manifesteert zich in de verwerking van bepaalde DNS-serverreacties, wat leidt tot een bufferoverloop van één byte. De kwetsbaarheid manifesteert zich alleen wanneer deze is ingeschakeld in de DNS-resolverinstellingen met behulp van de "resolver"-richtlijn. Om de aanval uit te voeren, moet een aanvaller UDP-pakketten van de DNS-server kunnen vervalsen of controle over de DNS-server kunnen krijgen. De kwetsbaarheid manifesteert zich vanaf de release van nginx 0.6.18. Om het probleem in oudere releases op te lossen, kunt u een patch gebruiken.

Niet-beveiligingsgerelateerde wijzigingen in nginx 1.21.0:

  • Ondersteuning voor variabelen is toegevoegd aan de richtlijnen "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" en "uwsgi_ssl_certificate_key".
  • De mailproxymodule ondersteunt nu 'pipelining' voor het doorgeven van meerdere POP3- of IMAP-verzoeken in één verbinding. Bovendien is er een nieuwe 'max_errors'-richtlijn toegevoegd die het maximale aantal protocolfouten specificeert waarna de verbinding wordt gesloten.
  • De streammodule heeft een nieuwe parameter met de naam "fastopen" die de "TCP Fast Open"-modus voor luisterende sockets inschakelt.
  • Problemen met het ontsnappen van speciale tekens tijdens automatische omleiding door het toevoegen van een slash aan het einde zijn opgelost.
  • Er is een probleem opgelost waarbij clientverbindingen werden gesloten bij gebruik van SMTP-pipelining.

Bron: opennet.ru

Koop betrouwbare hosting voor sites met DDoS-bescherming, VPS VDS-servers 🔥 Koop betrouwbare websitehosting met DDoS-bescherming, VPS- en VDS-servers | ProHoster