Huvudgrenen av nginx 1.23.2 har släppts, inom vilken utvecklingen av nya funktioner fortsätter, liksom lanseringen av den parallellt stödda stabila grenen av nginx 1.22.1, som endast inkluderar ändringar relaterade till eliminering av allvarliga fel och sårbarheter.
De nya versionerna eliminerar två sårbarheter (CVE-2022-41741, CVE-2022-41742) i modulen ngx_http_mp4_module, som används för att organisera streaming från filer i H.264/AAC-formatet. Sårbarheterna kan leda till minneskorruption eller minnesläcka vid bearbetning av en specialgjord mp4-fil. En nödavslutning av en arbetsprocess nämns som en konsekvens, men andra manifestationer är inte uteslutna, såsom organisering av kodexekvering på servern.
Det är anmärkningsvärt att en liknande sårbarhet redan fixades i ngx_http_mp4_module-modulen 2012. Dessutom rapporterade F5 en liknande sårbarhet (CVE-2022-41743) i NGINX Plus-produkten, vilket påverkar modulen ngx_http_hls_module, som ger stöd för HLS-protokollet (Apple HTTP Live Streaming).
Förutom att eliminera sårbarheter, föreslås följande ändringar i nginx 1.23.2:
- Lade till stöd för "$proxy_protocol_tlv_*"-variablerna, som innehåller värdena för TLV (Type-Length-Value)-fälten som visas i Type-Length-Value PROXY v2-protokollet.
- Tillhandahöll automatisk rotation av krypteringsnycklar för TLS-sessionsbiljetter, som används vid användning av delat minne i ssl_session_cache-direktivet.
- Loggningsnivån för fel relaterade till felaktiga SSL-posttyper har sänkts från kritisk till informationsnivå.
- Loggningsnivån för meddelanden om oförmåga att allokera minne för en ny session har ändrats från varning till varning och är begränsad till att mata ut en post per sekund.
- På Windows-plattformen har montering med OpenSSL 3.0 etablerats.
- Förbättrad reflektion av PROXY-protokollfel i loggen.
- Fixade ett problem där timeouten som anges i "ssl_session_timeout"-direktivet inte fungerade när TLSv1.3 var baserad på OpenSSL eller BoringSSL.
Källa: opennet.ru