ProHoster > Blog > warta internét > Nginx 1.22.1 sareng 1.23.2 ngamutahirkeun kalayan kerentanan tetep

Nginx 1.22.1 sareng 1.23.2 ngamutahirkeun kalayan kerentanan tetep

Cabang utama nginx 1.23.2 parantos dileupaskeun, dimana pamekaran fitur-fitur énggal diteruskeun, ogé sékrési cabang stabil paralel anu dirojong tina nginx 1.22.1, anu ngan ukur kalebet parobihan anu aya hubunganana sareng ngaleungitkeun kasalahan serius sareng vulnerabilities.

Versi anyar ngaleungitkeun dua kerentanan (CVE-2022-41741, CVE-2022-41742) dina modul ngx_http_mp4_module, dipaké pikeun ngatur streaming tina file dina format H.264/AAC. Kerentanan tiasa nyababkeun korupsi mémori atanapi bocor mémori nalika ngolah file mp4 anu didamel khusus. Terminasi darurat tina prosés gawé disebutkeun salaku konsekuensi, tapi manifestasi séjén teu kaasup, kayaning organisasi palaksanaan kode dina server.

Perlu dicatet yén kerentanan anu sami parantos dibenerkeun dina modul ngx_http_mp4_module di 2012. Salaku tambahan, F5 ngalaporkeun kerentanan anu sami (CVE-2022-41743) dina produk NGINX Plus, mangaruhan modul ngx_http_hls_module, anu nyayogikeun protokol HLS (Apple HTTP Live Streaming).

Salian ngaleungitkeun kerentanan, parobihan ieu diusulkeun dina nginx 1.23.2:

  • Ditambahkeun dukungan pikeun variabel "$proxy_protocol_tlv_*", anu ngandung nilai widang TLV (Type-Length-Value) anu muncul dina protokol Type-Length-Value PROXY v2.
  • Disadiakeun rotasi otomatis tina konci enkripsi pikeun tiket sési TLS, dipaké nalika ngagunakeun memori dibagikeun dina diréktif ssl_session_cache.
  • Tingkat logging pikeun kasalahan anu aya hubunganana sareng jinis rékaman SSL anu salah parantos diturunkeun tina tingkat kritis kana tingkat inpormasi.
  • Tingkat logging pikeun pesen ngeunaan henteu mampuh pikeun allocate memori pikeun sési anyar geus robah tina waspada kana ngingetkeun sarta diwatesan pikeun kaluaran hiji éntri per detik.
  • Dina platform Windows, assembly kalawan OpenSSL 3.0 geus ngadegkeun.
  • Ningkatkeun cerminan kasalahan protokol PROXY dina log.
  • Ngalereskeun masalah dimana waktos béakna ditangtukeun dina diréktif "ssl_session_timeout" henteu tiasa dianggo nalika nganggo TLSv1.3 dumasar kana OpenSSL atanapi BoringSSL.

sumber: opennet.ru

Tambahkeun komentar