Bola vydaná hlavná vetva nginx 1.23.2, v rámci ktorej pokračuje vývoj nových funkcií, ako aj vydanie paralelne podporovanej stabilnej vetvy nginx 1.22.1, ktorá obsahuje len zmeny súvisiace s odstránením závažných chýb a zraniteľnosti.
Nové verzie odstraňujú dve zraniteľnosti (CVE-2022-41741, CVE-2022-41742) v module ngx_http_mp4_module, ktorý sa používa na organizáciu streamovania zo súborov vo formáte H.264/AAC. Zraniteľnosť by mohla viesť k poškodeniu pamäte alebo úniku pamäte pri spracovaní špeciálne vytvoreného súboru mp4. Ako dôsledok je uvedené núdzové ukončenie pracovného procesu, ale nie sú vylúčené ani iné prejavy, ako napríklad organizácia spúšťania kódu na serveri.
Je pozoruhodné, že podobná zraniteľnosť už bola opravená v module ngx_http_mp4_module v roku 2012. Okrem toho F5 ohlásil podobnú zraniteľnosť (CVE-2022-41743) v produkte NGINX Plus, ktorá má vplyv na modul ngx_http_hls_module, ktorý poskytuje podporu protokolu HLS (Apple HTTP Live Streaming).
Okrem odstránenia zraniteľností sú v nginx 1.23.2 navrhnuté nasledujúce zmeny:
- Pridaná podpora pre premenné „$proxy_protocol_tlv_*“, ktoré obsahujú hodnoty polí TLV (Type-Length-Value), ktoré sa objavujú v protokole Type-Length-Value PROXY v2.
- Poskytnuté automatické striedanie šifrovacích kľúčov pre lístky relácie TLS, ktoré sa používajú pri použití zdieľanej pamäte v direktíve ssl_session_cache.
- Úroveň protokolovania chýb súvisiacich s nesprávnymi typmi záznamov SSL bola znížená z kritickej na informačnú úroveň.
- Úroveň protokolovania správ o nemožnosti prideliť pamäť pre novú reláciu sa zmenila z výstrahy na výstrahu a obmedzuje sa na výstup jednej položky za sekundu.
- Na platforme Windows bola zavedená montáž s OpenSSL 3.0.
- Vylepšené odrážanie chýb protokolu PROXY v protokole.
- Opravený problém, kedy časový limit špecifikovaný v direktíve "ssl_session_timeout" nefungoval pri použití TLSv1.3 založeného na OpenSSL alebo BoringSSL.
Zdroj: opennet.ru