Den första utgåvan av den nya huvudgrenen av nginx 1.21.0 har presenterats, inom vilken utvecklingen av nya funktioner kommer att fortsätta. Samtidigt förbereddes en korrigerande release parallellt med den stödda stabila grenen 1.20.1, som endast introducerar ändringar relaterade till eliminering av allvarliga fel och sårbarheter. Nästa år kommer, utifrån huvudgrenen 1.21.x, en stabil gren 1.22 att bildas.
De nya versionerna fixar en sårbarhet (CVE-2021-23017) i koden för att lösa värdnamn i DNS, vilket kan leda till en krasch eller potentiellt exekverande angriparkod. Problemet visar sig i bearbetningen av vissa DNS-serversvar som resulterar i ett buffertspill på en byte. Sårbarheten visas bara när den är aktiverad i DNS-resolverinställningarna med hjälp av "resolver"-direktivet. För att utföra en attack måste en angripare kunna förfalska UDP-paket från DNS-servern eller få kontroll över DNS-servern. Sårbarheten har dykt upp sedan lanseringen av nginx 0.6.18. En patch kan användas för att åtgärda problemet i äldre versioner.
Icke-säkerhetsändringar i nginx 1.21.0:
- Variabelt stöd har lagts till i direktiven "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" och "uwsgi_ssl_certificate_key".
- E-postproxymodulen har lagt till stöd för "pipelining" för att skicka flera POP3- eller IMAP-förfrågningar i en anslutning, och även lagt till ett nytt direktiv "max_errors", som definierar det maximala antalet protokollfel efter vilka anslutningen kommer att stängas.
- Lade till en "fastopen"-parameter till streammodulen, vilket möjliggör "TCP Fast Open"-läge för lyssningsuttag.
- Problem med att undvika specialtecken under automatiska omdirigeringar genom att lägga till ett snedstreck i slutet har lösts.
- Problemet med att stänga anslutningar till klienter när du använder SMTP-pipelining har lösts.
Källa: opennet.ru