Pelepasan mimiti cabang utama anyar nginx 1.21.0 parantos disayogikeun, dimana pamekaran fitur énggal bakal diteruskeun. Dina waktos anu sami, sékrési koréksi disiapkeun paralel sareng cabang stabil anu dirojong 1.20.1, anu ngan ukur ngenalkeun parobahan anu aya hubunganana sareng ngaleungitkeun kasalahan sareng kerentanan anu serius. Taun hareup, dumasar kana cabang utama 1.21.x, cabang stabil 1.22 bakal kabentuk.
Versi anyar ngalereskeun kerentanan (CVE-2021-23017) dina kode pikeun ngabéréskeun hostnames dina DNS, anu tiasa nyababkeun kacilakaan atanapi berpotensi ngaéksekusi kode panyerang. Masalahna manifests sorangan dina ngolah réspon server DNS tangtu hasilna hiji-bait panyangga mudal. Kerentanan ngan muncul nalika diaktipkeun dina setélan DNS resolver ngagunakeun diréktif "resolver". Pikeun ngalaksanakeun serangan, panyerang kedah tiasa ngabobol pakét UDP tina server DNS atanapi ngontrol pangladén DNS. Kerentanan parantos muncul saprak sékrési nginx 0.6.18. A patch bisa dipaké pikeun ngalereskeun masalah dina release heubeul.
Parobihan non-kaamanan dina nginx 1.21.0:
- Rojongan variabel geus ditambahkeun kana "proxy_ssl_certificate", "proxy_ssl_certificate_key" "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" jeung "uwsgi_ssl_certificate_key".
- Modul proxy mail geus ditambahkeun rojongan pikeun "pipelining" pikeun ngirim sababaraha POP3 atanapi IMAP requests dina sambungan tunggal, sarta ogé ditambahkeun hiji diréktif anyar "max_errors", nu nangtukeun jumlah maksimum kasalahan protokol sanggeus sambungan nu bakal ditutup.
- Nambahkeun parameter "fastopen" kana modul stream, sangkan mode "TCP Fast Open" pikeun stop kontak déngékeun.
- Masalah sareng kabur karakter husus salila alihan otomatis ku nambahkeun slash dina tungtungna geus direngsekeun.
- Masalah sareng nutup sambungan ka klien nalika ngagunakeun SMTP pipelining geus direngsekeun.
sumber: opennet.ru