Predstavljena je bila prva izdaja nove glavne veje nginx 1.21.0, v okviru katere se bo nadaljeval razvoj novih funkcij. Hkrati je bila vzporedno s podprto stabilno vejo 1.20.1 pripravljena tudi popravljalna izdaja, ki uvaja le spremembe v zvezi z odpravo resnih napak in ranljivosti. Naslednje leto bo na osnovi glavne veje 1.21.x nastala stabilna veja 1.22.
Nove različice odpravljajo ranljivost (CVE-2021-23017) v kodi za razreševanje imen gostiteljev v DNS, ki bi lahko povzročila zrušitev ali morebitno izvajanje kode napadalca. Težava se kaže pri obdelavi določenih odzivov strežnika DNS, kar povzroči prepolnitev enobajtnega medpomnilnika. Ranljivost se pojavi samo, ko je omogočena v nastavitvah razreševalnika DNS z uporabo direktive »razreševalec«. Za izvedbo napada mora biti napadalec sposoben ponarediti pakete UDP s strežnika DNS ali pridobiti nadzor nad strežnikom DNS. Ranljivost se je pojavila od izdaje nginx 0.6.18. Za odpravo težave v starejših izdajah lahko uporabite popravek.
Nevarnostne spremembe v nginx 1.21.0:
- Podpora za spremenljivke je bila dodana direktivam "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" in "uwsgi_ssl_certificate_key".
- Modul poštnega proxyja je dodal podporo za »cevovod« za pošiljanje več zahtev POP3 ali IMAP v eni sami povezavi, dodal pa je tudi novo direktivo »max_errors«, ki določa največje število napak protokola, po katerih se povezava prekine.
- V pretočni modul je bil dodan parameter »fastopen«, ki omogoča način »TCP Fast Open« za vtičnice za poslušanje.
- Težave z uhajanjem posebnih znakov med samodejnimi preusmeritvami z dodajanjem poševnice na koncu so bile odpravljene.
- Težava z zapiranjem povezav z odjemalci pri uporabi cevovoda SMTP je bila rešena.
Vir: opennet.ru