A fost prezentată prima lansare a noii ramuri principale a nginx 1.21.0, în cadrul căreia dezvoltarea de noi funcții va continua. În același timp, a fost pregătită o versiune corectivă în paralel cu ramura stabilă suportată 1.20.1, care introduce doar modificări legate de eliminarea erorilor și vulnerabilităților grave. Anul viitor, pe baza ramurii principale 1.21.x, se va forma o ramură stabilă 1.22.
Noile versiuni remediază o vulnerabilitate (CVE-2021-23017) în codul de rezolvare a numelor de gazdă în DNS, care ar putea duce la o blocare sau la potențial executare a codului atacatorului. Problema se manifestă în procesarea anumitor răspunsuri ale serverului DNS, rezultând o depășire a memoriei tampon de un octet. Vulnerabilitatea apare numai atunci când este activată în setările rezolutorului DNS folosind directiva „resolver”. Pentru a efectua un atac, un atacator trebuie să fie capabil să falsifice pachetele UDP de pe serverul DNS sau să obțină controlul asupra serverului DNS. Vulnerabilitatea a apărut de la lansarea lui nginx 0.6.18. Un patch poate fi folosit pentru a remedia problema în versiunile mai vechi.
Modificări non-securitate în nginx 1.21.0:
- Suport variabil a fost adăugat la directivele „proxy_ssl_certificate”, „proxy_ssl_certificate_key”, „grpc_ssl_certificate”, „grpc_ssl_certificate_key”, „uwsgi_ssl_certificate” și „uwsgi_ssl_certificate”.
- Modulul proxy de e-mail a adăugat suport pentru „pipelining” pentru trimiterea mai multor cereri POP3 sau IMAP într-o singură conexiune și, de asemenea, a adăugat o nouă directivă „max_errors”, care definește numărul maxim de erori de protocol după care conexiunea va fi închisă.
- S-a adăugat un parametru „fastopen” la modulul de flux, permițând modul „TCP Fast Open” pentru mufele de ascultare.
- Problemele legate de evadarea caracterelor speciale în timpul redirecționărilor automate prin adăugarea unei bare oblice la sfârșit au fost rezolvate.
- Problema cu închiderea conexiunilor la clienți atunci când se utilizează pipelining SMTP a fost rezolvată.
Sursa: opennet.ru