ProHoster > Blog > notícias da internet > Atualização Nginx 1.22.1 e 1.23.2 com vulnerabilidades corrigidas

Atualização Nginx 1.22.1 e 1.23.2 com vulnerabilidades corrigidas

Foi lançado o branch principal do nginx 1.23.2, dentro do qual continua o desenvolvimento de novos recursos, bem como o lançamento do branch estável com suporte paralelo do nginx 1.22.1, que inclui apenas alterações relacionadas à eliminação de erros graves e vulnerabilidades.

As novas versões eliminam duas vulnerabilidades (CVE-2022-41741, CVE-2022-41742) no módulo ngx_http_mp4_module, usado para organizar streaming de arquivos no formato H.264/AAC. As vulnerabilidades podem causar corrupção ou vazamento de memória ao processar um arquivo mp4 especialmente criado. Como consequência, é mencionado o encerramento emergencial de um processo de trabalho, mas outras manifestações não são excluídas, como a organização da execução de código no servidor.

Vale ressaltar que uma vulnerabilidade semelhante já foi corrigida no módulo ngx_http_mp4_module em 2012. Além disso, F5 relatou uma vulnerabilidade semelhante (CVE-2022-41743) no produto NGINX Plus, afetando o módulo ngx_http_hls_module, que fornece suporte para o protocolo HLS (Apple HTTP Live Streaming).

Além de eliminar vulnerabilidades, as seguintes alterações são propostas no nginx 1.23.2:

  • Adicionado suporte para as variáveis ​​“$proxy_protocol_tlv_*”, que contém os valores dos campos TLV (Type-Length-Value) que aparecem no protocolo Type-Length-Value PROXY v2.
  • Fornecida rotação automática de chaves de criptografia para tickets de sessão TLS, usada ao usar memória compartilhada na diretiva ssl_session_cache.
  • O nível de registro de erros relacionados a tipos de registro SSL incorretos foi reduzido do nível crítico para o nível informativo.
  • O nível de registro de mensagens sobre a incapacidade de alocar memória para uma nova sessão foi alterado de alerta para aviso e está limitado à saída de uma entrada por segundo.
  • Na plataforma Windows, a montagem com OpenSSL 3.0 foi estabelecida.
  • Reflexão aprimorada de erros do protocolo PROXY no log.
  • Corrigido um problema em que o tempo limite especificado na diretiva "ssl_session_timeout" não funcionava ao usar TLSv1.3 baseado em OpenSSL ou BoringSSL.

Fonte: opennet.ru

Adicionar um comentário