Представљено је прво издање нове главне гране нгинк-а 1.21.0 у оквиру које ће се наставити развој нових карактеристика. Истовремено, паралелно са подржаном стабилном граном 1.20.1 припремљено је и корективно издање, које само уводи промене везане за елиминисање озбиљних грешака и рањивости. Следеће године, на основу главне гране 1.21.к, формираће се стабилна грана 1.22.
Нове верзије поправљају рањивост (ЦВЕ-2021-23017) у коду за решавање имена хостова у ДНС-у, што може довести до пада или потенцијалног извршавања нападачког кода. Проблем се манифестује у обради одређених одговора ДНС сервера што доводи до прекорачења бафера од једног бајта. Рањивост се појављује само када је омогућена у подешавањима ДНС разрешивача помоћу директиве „ресолвер“. Да би извршио напад, нападач мора бити у стању да лажира УДП пакете са ДНС сервера или да добије контролу над ДНС сервером. Рањивост се појавила од објављивања нгинк 0.6.18. Закрпа се може користити за решавање проблема у старијим издањима.
Небезбедносне промене у нгинк 1.21.0:
- Подршка за променљиве је додата директивама "проки_ссл_цертифицате", "проки_ссл_цертифицате_кеи", "грпц_ссл_цертифицате", "грпц_ссл_цертифицате_кеи", "увсги_ссл_цертифицате" и "увсгифицате_ссл_церти".
- Прокси модул за пошту је додао подршку за „пипелининг“ за слање више ПОП3 или ИМАП захтева у једној вези, а такође је додао нову директиву „мак_еррорс“, која дефинише максималан број грешака у протоколу након којих ће се веза затворити.
- Додат је параметар "фастопен" модулу за стрим, омогућавајући режим "ТЦП Фаст Опен" за утичнице за слушање.
- Проблеми са избегавањем специјалних знакова током аутоматских преусмеравања додавањем косе црте на крају су решени.
- Проблем са затварањем веза са клијентима када се користи СМТП цевовод је решен.
Извор: опеннет.ру