Hovedgrenen til nginx 1.23.2 er utgitt, der utviklingen av nye funksjoner fortsetter, samt utgivelsen av den parallellstøttede stabile grenen til nginx 1.22.1, som kun inkluderer endringer relatert til eliminering av alvorlige feil og sårbarheter.
De nye versjonene eliminerer to sårbarheter (CVE-2022-41741, CVE-2022-41742) i ngx_http_mp4_module-modulen, som brukes til å organisere strømming fra filer i H.264/AAC-formatet. Sårbarhetene kan føre til minnekorrupsjon eller minnelekkasje ved behandling av en spesiallaget mp4-fil. En nødavslutning av en arbeidsprosess er nevnt som en konsekvens, men andre manifestasjoner er ikke utelukket, for eksempel organisering av kodekjøring på serveren.
Det er bemerkelsesverdig at en lignende sårbarhet allerede ble fikset i ngx_http_mp4_module-modulen i 2012. I tillegg rapporterte F5 en lignende sårbarhet (CVE-2022-41743) i NGINX Plus-produktet, som påvirker ngx_http_hls_module-modulen, som gir støtte for HLS (Apple HTTP Live Streaming)-protokollen.
I tillegg til å eliminere sårbarheter, foreslås følgende endringer i nginx 1.23.2:
- Lagt til støtte for "$proxy_protocol_tlv_*"-variablene, som inneholder verdiene til TLV (Type-Length-Value)-feltene som vises i Type-Length-Value PROXY v2-protokollen.
- Gir automatisk rotasjon av krypteringsnøkler for TLS-sesjonsbilletter, brukt ved bruk av delt minne i ssl_session_cache-direktivet.
- Loggingsnivået for feil relatert til feil SSL-posttyper er senket fra kritisk til informasjonsnivå.
- Loggnivået for meldinger om manglende evne til å tildele minne for en ny økt er endret fra varsel til advarsel og er begrenset til å sende ut én oppføring per sekund.
- På Windows-plattformen er montering med OpenSSL 3.0 etablert.
- Forbedret refleksjon av PROXY-protokollfeil i loggen.
- Rettet et problem der tidsavbruddet spesifisert i "ssl_session_timeout"-direktivet ikke fungerte ved bruk av TLSv1.3 basert på OpenSSL eller BoringSSL.
Kilde: opennet.ru