nginx 1.23.2 හි ප්රධාන ශාඛාව නිකුත් කර ඇති අතර, එහි නව විශේෂාංග සංවර්ධනය අඛණ්ඩව සිදු වන අතර, nginx 1.22.1 හි සමාන්තර සහය දක්වන ස්ථාවර ශාඛාව නිකුත් කිරීම, බරපතල දෝෂ ඉවත් කිරීම හා සම්බන්ධ වෙනස්කම් පමණක් ඇතුළත් වේ. දුර්වලතා.
නව අනුවාද H.2022/AAC ආකෘතියෙන් ගොනු වලින් ප්රවාහය සංවිධානය කිරීමට භාවිතා කරන ngx_http_mp41741_module මොඩියුලයේ ඇති දුර්වලතා දෙකක් (CVE-2022-41742, CVE-4-264) ඉවත් කරයි. විශේෂයෙන් සැකසූ mp4 ගොනුවක් සැකසීමේදී දුර්වලතා මතක දූෂණයට හෝ මතක කාන්දු වීමට හේතු විය හැක. වැඩ ක්රියාවලියක හදිසි අවසන් කිරීමක් ප්රතිවිපාකයක් ලෙස සඳහන් කර ඇත, නමුත් සේවාදායකයේ කේත ක්රියාත්මක කිරීම සංවිධානය කිරීම වැනි අනෙකුත් ප්රකාශනයන් බැහැර නොකෙරේ.
4 දී ngx_http_mp2012_module මොඩියුලය තුළ දැනටමත් සමාන අවදානමක් නිරාකරණය කර තිබීම සැලකිය යුතු කරුණකි. මීට අමතරව, HLS (Apple HTTP Live Streaming) ප්රොටෝකෝලය සඳහා සහය සපයන ngx_http_hls_module මොඩියුලයට බලපාන, NGINX Plus නිෂ්පාදනයේ සමාන අවදානමක් (CVE-5-2022) F41743 වාර්තා කළේය.
අවදානම් ඉවත් කිරීමට අමතරව, nginx 1.23.2 හි පහත වෙනස්කම් යෝජනා කෙරේ:
- Type-Length-Value PROXY v2 ප්රොටෝකෝලය තුළ දිස්වන TLV (වර්ගය-දිග-අගය) ක්ෂේත්රවල අගයන් අඩංගු “$proxy_protocol_tlv_*” විචල්ය සඳහා සහය එක් කරන ලදී.
- ssl_session_cache විධානය තුළ හවුල් මතකය භාවිතා කරන විට භාවිතා කරන TLS සැසි ප්රවේශපත්ර සඳහා සංකේතාංකන යතුරු ස්වයංක්රීයව භ්රමණය කර ඇත.
- වැරදි SSL වාර්තා වර්ගවලට අදාළ දෝෂ සඳහා ලොග් කිරීමේ මට්ටම තීරණාත්මක සිට තොරතුරු මට්ටම දක්වා අඩු කර ඇත.
- නව සැසියක් සඳහා මතකය වෙන් කිරීමට නොහැකි වීම පිළිබඳ පණිවිඩ සඳහා ලොග් වීමේ මට්ටම අනතුරු ඇඟවීමේ සිට අනතුරු ඇඟවීම දක්වා වෙනස් කර ඇති අතර තත්පරයකට එක් ප්රවේශයක් ප්රතිදානය කිරීමට සීමා වේ.
- වින්ඩෝස් වේදිකාවේ, OpenSSL 3.0 සමඟ එකලස් කිරීම ස්ථාපිත කර ඇත.
- ලොගයේ ඇති PROXY ප්රොටෝකෝල දෝෂවල වැඩි දියුණු කළ පරාවර්තනය.
- OpenSSL හෝ BoringSSL මත පදනම්ව TLSv1.3 භාවිතා කරන විට "ssl_session_timeout" විධානයෙහි සඳහන් කර ඇති කල් ඉකුත්වීම ක්රියා නොකළ ගැටලුවක් විසඳා ඇත.
මූලාශ්රය: opennet.ru