د نګینکس 1.23.2 اصلي څانګه خپره شوې ، په کوم کې چې د نوو ځانګړتیاو پراختیا دوام لري ، او همدارنګه د نګینکس 1.22.1 موازي ملاتړ شوي مستحکم څانګې خوشې کول ، چې یوازې د جدي غلطیو له مینځه وړو پورې اړوند بدلونونه پکې شامل دي. زیانمنتیاوې
نوې نسخې په ngx_http_mp2022_module ماډل کې دوه زیانونه (CVE-41741-2022, CVE-41742-4) له منځه وړي، چې د H.264/AAC بڼه کې د فایلونو څخه د سټینګ تنظیم کولو لپاره کارول کیږي. زیانونه کولی شي د حافظې فساد یا حافظې لیک لامل شي کله چې په ځانګړي ډول جوړ شوي mp4 فایل پروسس کوي. د کار پروسې اضطراري پای ته رسیدل د پایلې په توګه ذکر شوي ، مګر نور څرګندونه ندي خارج شوي ، لکه په سرور کې د کوډ اجرا کولو تنظیم.
دا د یادونې وړ ده چې ورته زیان مخکې په 4 کې د ngx_http_mp2012_module ماډل کې ټاکل شوی و. برسېره پردې، F5 د NGINX Plus محصول کې ورته زیانمنونکي (CVE-2022-41743) راپور ورکړی، د ngx_http_hls_module ماډل اغیزه کوي، کوم چې د HLS (Apple HTTP Live Streaming) پروتوکول لپاره مالتړ چمتو کوي.
د زیان منونکو له منځه وړلو سربیره، nginx 1.23.2 لاندې بدلونونه وړاندیز کوي:
- د "$proxy_protocol_tlv_*" متغیرونو لپاره ملاتړ اضافه شوی، کوم چې د TLV (Type-Length-Value) ساحو ارزښتونه لري چې د ډول - اوږدوالی - ارزښت PROXY v2 پروتوکول کې ښکاري.
- د TLS سیشن ټیکټونو لپاره د کوډ کولو کیلي اتومات گردش چمتو کړی ، کله چې په ssl_session_cache لارښود کې د شریکې حافظې کارولو پرمهال کارول کیږي.
- د غلط SSL ریکارډ ډولونو پورې اړوند د غلطیو لپاره د ننوتلو کچه له مهم څخه معلوماتي کچې ته راټیټه شوې.
- د نوي ناستې لپاره د حافظې تخصیص کولو کې د ناتوانۍ په اړه د پیغامونو د ننوتلو کچه له خبرتیا څخه خبرتیا ته بدله شوې او په هر ثانیه کې د یوې ننوتلو تولید پورې محدوده ده.
- د وینډوز پلیټ فارم کې ، د OpenSSL 3.0 سره مجلس رامینځته شوی.
- په لاګ کې د پراکسي پروتوکول غلطیو ښه انعکاس.
- یوه مسله حل کړه چیرې چې د "ssl_session_timeout" لارښود کې مشخص شوي مهال ویش کار نه کاوه کله چې د OpenSSL یا BoringSSL پراساس TLSv1.3 کاروئ.
سرچینه: opennet.ru