Izdana je bila glavna veja nginxa 1.23.2, v okviru katere se nadaljuje razvoj novih funkcij, ter izid vzporedno podprte stabilne veje nginxa 1.22.1, ki vključuje le spremembe v zvezi z odpravo resnih napak in ranljivosti.
Nove različice odpravljajo dve ranljivosti (CVE-2022-41741, CVE-2022-41742) v modulu ngx_http_mp4_module, ki se uporablja za organizacijo pretakanja iz datotek v formatu H.264/AAC. Ranljivosti lahko povzročijo poškodbe pomnilnika ali uhajanje pomnilnika pri obdelavi posebej oblikovane datoteke mp4. Kot posledica je omenjena nujna prekinitev delovnega procesa, niso pa izključene niti druge manifestacije, kot je na primer organizacija izvajanja kode na strežniku.
Omeniti velja, da je bila podobna ranljivost že odpravljena v modulu ngx_http_mp4_module leta 2012. Poleg tega je F5 poročal o podobni ranljivosti (CVE-2022-41743) v izdelku NGINX Plus, ki vpliva na modul ngx_http_hls_module, ki zagotavlja podporo za protokol HLS (Apple HTTP Live Streaming).
Poleg odpravljanja ranljivosti so v nginx 1.23.2 predlagane naslednje spremembe:
- Dodana podpora za spremenljivke »$proxy_protocol_tlv_*«, ki vsebujejo vrednosti polj TLV (Type-Length-Value), ki se prikažejo v protokolu Type-Length-Value PROXY v2.
- Zagotovljena je samodejna rotacija šifrirnih ključev za vstopnice sej TLS, ki se uporabljajo pri uporabi skupnega pomnilnika v direktivi ssl_session_cache.
- Raven beleženja napak, povezanih z nepravilnimi vrstami zapisov SSL, je bila znižana s kritične na informativno raven.
- Raven beleženja za sporočila o nezmožnosti dodelitve pomnilnika za novo sejo je bila spremenjena iz opozorila v opozorilo in je omejena na izpis enega vnosa na sekundo.
- Na platformi Windows je vzpostavljena montaža z OpenSSL 3.0.
- Izboljšan odraz napak protokola PROXY v dnevniku.
- Odpravljena je težava, pri kateri časovna omejitev, navedena v direktivi "ssl_session_timeout", ni delovala pri uporabi TLSv1.3, ki temelji na OpenSSL ali BoringSSL.
Vir: opennet.ru