Zaprezentowano pierwsze wydanie nowej głównej gałęzi nginx 1.21.0, w ramach której kontynuowany będzie rozwój nowych funkcjonalności. Jednocześnie równolegle z obsługiwaną stabilną gałęzią 1.20.1 przygotowano wydanie korygujące, które wprowadza jedynie zmiany związane z eliminacją poważnych błędów i podatności. W przyszłym roku, w oparciu o główną gałąź 1.21.x, powstanie stabilna gałąź 1.22.
Nowe wersje naprawiają lukę (CVE-2021-23017) w kodzie rozpoznawania nazw hostów w DNS, która może doprowadzić do awarii lub potencjalnie wykonać kod atakującego. Problem objawia się przetwarzaniem niektórych odpowiedzi serwera DNS, co skutkuje jednobajtowym przepełnieniem bufora. Luka pojawia się tylko wtedy, gdy jest włączona w ustawieniach programu rozpoznawania nazw DNS za pomocą dyrektywy „resolver”. Aby przeprowadzić atak, osoba atakująca musi być w stanie sfałszować pakiety UDP z serwera DNS lub przejąć kontrolę nad serwerem DNS. Luka pojawiła się od czasu wydania nginx 0.6.18. Aby naprawić problem występujący w starszych wersjach, można zastosować łatkę.
Zmiany niezwiązane z bezpieczeństwem w Nginx 1.21.0:
- Do dyrektyw „proxy_ssl_certificate”, „proxy_ssl_certificate_key” „grpc_ssl_certificate”, „grpc_ssl_certificate_key”, „uwsgi_ssl_certificate” i „uwsgi_ssl_certificate_key” dodano obsługę zmiennych.
- Moduł proxy poczty dodał obsługę „potoku” w przypadku wysyłania wielu żądań POP3 lub IMAP w jednym połączeniu, a także dodał nową dyrektywę „max_errors”, która określa maksymalną liczbę błędów protokołu, po której połączenie zostanie zamknięte.
- Do modułu strumieniowego dodano parametr „fastopen”, włączając tryb „TCP Fast Open” dla gniazd nasłuchowych.
- Rozwiązano problemy z ucieczką od znaków specjalnych podczas automatycznych przekierowań poprzez dodanie ukośnika na końcu.
- Rozwiązano problem zamykania połączeń z klientami podczas korzystania z potokowania SMTP.
Źródło: opennet.ru