Bolo predstavené prvé vydanie novej hlavnej vetvy nginx 1.21.0, v rámci ktorej bude pokračovať vývoj nových funkcií. Paralelne s podporovanou stabilnou vetvou 1.20.1 bola zároveň pripravená opravná verzia, ktorá prináša len zmeny súvisiace s odstraňovaním závažných chýb a zraniteľností. V budúcom roku sa na základe hlavnej vetvy 1.21.x vytvorí stabilná vetva 1.22.
Nové verzie opravujú chybu zabezpečenia (CVE-2021-23017) v kóde na riešenie názvov hostiteľov v DNS, ktorá by mohla viesť k zlyhaniu alebo potenciálnemu spusteniu kódu útočníka. Problém sa prejavuje pri spracovaní určitých odpovedí servera DNS, čo vedie k pretečeniu vyrovnávacej pamäte o jeden bajt. Zraniteľnosť sa objaví iba vtedy, keď je povolená v nastaveniach DNS resolvera pomocou direktívy „resolver“. Na vykonanie útoku musí byť útočník schopný sfalšovať UDP pakety zo servera DNS alebo získať kontrolu nad serverom DNS. Zraniteľnosť sa objavila od vydania nginx 0.6.18. Na odstránenie problému v starších vydaniach možno použiť opravu.
Zmeny netýkajúce sa zabezpečenia v nginx 1.21.0:
- Do direktív "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" a "uwsgi_ssl_certificate_certificate" bola pridaná podpora premenných.
- Mail proxy modul pridal podporu pre “pipelining” pre odosielanie viacerých POP3 alebo IMAP požiadaviek v jednom spojení a tiež pridal novú direktívu “max_errors”, ktorá definuje maximálny počet chýb protokolu, po ktorých sa spojenie uzavrie.
- Pridaný parameter "fastopen" do modulu streamu, ktorý umožňuje režim "TCP Fast Open" pre počúvacie zásuvky.
- Problémy s escapovaním špeciálnych znakov pri automatických presmerovaniach pridaním lomky na koniec boli vyriešené.
- Problém s zatváraním pripojení ku klientom pri použití SMTP pipeliningu bol vyriešený.
Zdroj: opennet.ru