A fost lansată ramura principală a nginx 1.27.4, în cadrul căreia sunt dezvoltate noi funcții, precum și ramura stabilă paralelă a nginx 1.26.3, care conține doar modificări legate de eliminarea erorilor și vulnerabilităților grave. Actualizările remediază o vulnerabilitate (CVE-2025-23419) care permite ocolirea verificării certificatelor TLS client.
Vulnerabilitatea este cauzată de lipsa unei validări adecvate la gestionarea gazdelor virtuale legate la o singură adresă IP și număr de port și selectate în timpul accesului HTTPS pe baza numelui de domeniu specificat folosind extensia SNI TLS. În astfel de configurații, un atacator ar putea reutiliza o sesiune TLS în contextul unei gazde virtuale diferite pentru a ocoli autentificarea folosind certificatul TLS al clientului. Problema se manifestă în configurații care acceptă reluarea sesiunii TLS folosind un „tichet de sesiune TLS” sau care utilizează o memorie cache de sesiune TLS în setări. Server în mod implicit, care utilizează autentificarea prin certificate TLS ale clientului. Vulnerabilitatea este prezentă încă de la versiunea nginx 1.11.4, când a fost construit cu OpenSSL și activat protocolul TLSv1.3.
Modificări care nu sunt legate de securitate:
- Capacități adăugate pentru a reduce consumul de resurse și încărcarea procesorului atunci când utilizați TLS în configurații cu un număr mare de blocuri de server și locații. Modificările adăugate permit, în loc să creeze un context SSL separat (SSL_CTX în OpenSSL) pentru fiecare bloc de configurare, să se utilizeze contextul SSL existent din blocul părinte.
- S-au remediat problemele legate de încărcarea lungă a fișierelor de configurare din cauza analizării repetate a aceluiași set Certificate TLS, chei și liste de autorități de certificare. Reîncărcările de configurare au fost accelerate prin reutilizarea obiectelor TLS neschimbate, cum ar fi certificatele, cheile și CRL-urile. Directiva „ssl_object_cache_inheritable” a fost adăugată pentru a dezactiva moștenirea obiectelor în timpul actualizărilor de configurare.
- S-a adăugat cache pentru certificate și chei încărcate folosind variabile în directive (de exemplu, „ssl_certificate /etc/ssl/$ssl_server_name.crt”). Directivele „ssl_certificate_cache”, „proxy_ssl_certificate_cache”, „grpc_ssl_certificate_cache” și „uwsgi_ssl_certificate_cache” au fost adăugate pentru a gestiona memoria cache. Directivele specificate vă permit să configurați dimensiunea maximă a memoriei cache, perioada de valabilitate a înregistrărilor și timpul pentru curățarea înregistrărilor neutilizate. De exemplu: „ssl_certificate_cache max=1000 inactive=20s valid=1m;”.
- S-a adăugat directiva „keepalive_min_timeout”, care definește timpul de expirare în timpul căruia nginx nu va închide conexiunea keep-alive cu clientul.
- Problema cu apariția mesajelor de jurnal „filtrul gzip nu a reușit să folosească memoria prealocată” la construirea cu biblioteca zlib-ng a fost rezolvată.
- S-a rezolvat o problemă cu construirea bibliotecii libatomice când utilizați opțiunea de construire „--with-libatomic=DIR”
- S-a remediat o eroare care făcea imposibilă stabilirea unei conexiuni prin protocolul QUIC la utilizarea 0-RTT.
- S-a asigurat că cererile de negociere a versiunii QUIC de la clienți sunt ignorate.
- S-au rezolvat problemele legate de construirea pe Solaris 10 cu modulul ngx_http_v3_module.
- Au fost remediate erorile în implementarea HTTP/3.
Sursa: opennet.ru
