Është prezantuar lëshimi i parë i degës së re kryesore të nginx 1.21.0, brenda së cilës do të vazhdojë zhvillimi i veçorive të reja. Në të njëjtën kohë, një version korrigjues u përgatit paralelisht me degën e qëndrueshme të mbështetur 1.20.1, e cila prezanton vetëm ndryshime në lidhje me eliminimin e gabimeve dhe dobësive serioze. Vitin e ardhshëm, bazuar në degën kryesore 1.21.x, do të formohet një degë e qëndrueshme 1.22.
Versionet e reja rregullojnë një dobësi (CVE-2021-23017) në kodin për zgjidhjen e emrave të hosteve në DNS, i cili mund të çojë në një përplasje ose në ekzekutimin e mundshëm të kodit të sulmuesit. Problemi manifestohet në përpunimin e përgjigjeve të caktuara të serverit DNS që rezulton në një tejmbushje të tamponit prej një bajt. Dobësia shfaqet vetëm kur aktivizohet në cilësimet e zgjidhësit DNS duke përdorur direktivën "zgjidhës". Për të kryer një sulm, një sulmues duhet të jetë në gjendje të mashtrojë paketat UDP nga serveri DNS ose të fitojë kontrollin e serverit DNS. Dobësia është shfaqur që nga lëshimi i nginx 0.6.18. Një patch mund të përdoret për të rregulluar problemin në versionet më të vjetra.
Ndryshimet jo të sigurisë në nginx 1.21.0:
- Mbështetja e ndryshueshme është shtuar në direktivat "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" dhe "uwsgi_ssific_keyt".
- Moduli i përfaqësuesit të postës ka shtuar mbështetje për "pipelining" për dërgimin e kërkesave të shumta POP3 ose IMAP në një lidhje, dhe gjithashtu shtoi një direktivë të re "max_errors", e cila përcakton numrin maksimal të gabimeve të protokollit pas së cilës lidhja do të mbyllet.
- Shtoi një parametër "fastopen" në modulin e transmetimit, duke mundësuar modalitetin "TCP Fast Open" për prizat e dëgjimit.
- Problemet me ikjen e karaktereve speciale gjatë ridrejtimeve automatike duke shtuar një vijë të pjerrët në fund janë zgjidhur.
- Problemi me mbylljen e lidhjeve me klientët gjatë përdorimit të tubacionit SMTP është zgjidhur.
Burimi: opennet.ru