Nginx 1.25.4 odpravlja dve ranljivosti HTTP/3

Izdana je bila glavna veja nginx 1.25.4, znotraj katere se nadaljuje razvoj novih funkcij. Vzporedno vzdrževana stabilna veja 1.24.x vsebuje samo spremembe, povezane z odpravo resnih hroščev in ranljivosti. V prihodnosti bo na osnovi glavne veje 1.25.x oblikovana stabilna veja 1.26. Projektna koda je napisana v C in se distribuira pod licenco BSD.

Nova različica odpravlja dve ranljivosti v eksperimentalnem modulu http_v3_module (privzeto onemogočen), ki zagotavlja podporo za protokol HTTP/3, ki uporablja protokol QUIC kot transport za HTTP/2. Prvo ranljivost (CVE-2024-24989) povzroča dereferenca kazalca NULL, drugo (CVE-2024-24990) pa ranljivost »use-after-free« (CVE-2024-24990). Dnevnik sprememb navaja, da lahko obe ranljivosti povzročita sesutje le pri obravnavanju posebej izdelanih sej QUIC, vendar se zdi, da druga ranljivost ni bila analizirana glede resnejših posledic.

Poleg odpravljanja ranljivosti nova različica vključuje tudi splošne izboljšave in popravke implementacije HTTP/3, pa tudi popravke za puščanje vtičnic, napake vtičnic in zrušitve pri uporabi AIO. Odpravljena je bila težava s prezgodnjim zapiranjem povezav z nedokončanimi operacijami AIO med elegantnim zaključkom podedovanih delovnih procesov. Odpravljena je bila zrušitev pri preusmeritvi napak 415 z uporabo direktive error_page pri uporabi SSLdirektivi -proxying in image_filter.

Prav tako je bil pred nekaj dnevi objavljen njs 0.8.4, interpreter JavaScripta za spletni strežnik nginx. Interpreter njs implementira standarde ECMAScript in vam omogoča razširitev zmogljivosti obdelave zahtev nginx z uporabo konfiguracijskih skriptov. Skripte je mogoče uporabiti v konfiguracijski datoteki za definiranje napredne logike obdelave zahtev, ustvarjanje konfiguracij, dinamično ustvarjanje odgovorov, spreminjanje zahtev/odgovorov ali hitro ustvarjanje zavihkov za odpravljanje težav v spletnih aplikacijah. Nova različica vsebuje samo popravke napak.

Vir: opennet.ru

Kupite zanesljivo gostovanje za strani z DDoS zaščito, VPS VDS strežniki 🔥 Kupite zanesljivo spletno gostovanje z zaščito DDoS, VPS VDS strežniki | ProHoster