Foi apresentada a primeira versão do novo branch principal do nginx 1.21.0, dentro do qual o desenvolvimento de novos recursos continuará. Paralelamente, foi preparada uma versão corretiva em paralelo com o branch estável suportado 1.20.1, que apenas introduz alterações relacionadas com a eliminação de erros graves e vulnerabilidades. No próximo ano, com base no branch principal 1.21.x, um branch estável 1.22 será formado.
As novas versões corrigem uma vulnerabilidade (CVE-2021-23017) no código para resolução de nomes de host no DNS, o que pode levar a uma falha ou potencialmente à execução de código invasor. O problema se manifesta no processamento de determinadas respostas do servidor DNS, resultando em um buffer overflow de um byte. A vulnerabilidade só aparece quando habilitada nas configurações do resolvedor DNS usando a diretiva “resolver”. Para realizar um ataque, um invasor deve ser capaz de falsificar pacotes UDP do servidor DNS ou obter o controle do servidor DNS. A vulnerabilidade apareceu desde o lançamento do nginx 0.6.18. Um patch pode ser usado para corrigir o problema em versões mais antigas.
Mudanças não relacionadas à segurança no nginx 1.21.0:
- Foi adicionado suporte variável às diretivas "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" e "uwsgi_ssl_certificate_key".
- O módulo proxy de correio adicionou suporte para “pipelining” para enviar múltiplas solicitações POP3 ou IMAP em uma conexão, e também adicionou uma nova diretiva “max_errors”, que define o número máximo de erros de protocolo após os quais a conexão será fechada.
- Adicionado um parâmetro "fastopen" ao módulo de stream, habilitando o modo "TCP Fast Open" para soquetes de escuta.
- Problemas com escape de caracteres especiais durante redirecionamentos automáticos adicionando uma barra no final foram resolvidos.
- O problema de fechar conexões com clientes ao utilizar pipeline SMTP foi resolvido.
Fonte: opennet.ru