Toleo la kwanza la tawi kuu jipya la nginx 1.21.0 limewasilishwa, ambalo uendelezaji wa vipengele vipya utaendelea. Wakati huo huo, toleo la kurekebisha lilitayarishwa sambamba na tawi la 1.20.1 lililoungwa mkono, ambalo huanzisha tu mabadiliko yanayohusiana na uondoaji wa makosa makubwa na udhaifu. Mwaka ujao, kulingana na tawi kuu 1.21.x, tawi la 1.22 la utulivu litaundwa.
Matoleo mapya hurekebisha athari (CVE-2021-23017) katika msimbo wa kusuluhisha majina ya wapangishaji katika DNS, ambayo yanaweza kusababisha kuacha kufanya kazi au kutekeleza msimbo wa mshambulizi. Tatizo linajidhihirisha katika kuchakata baadhi ya majibu ya seva ya DNS na kusababisha kufurika kwa baiti moja. Athari huonekana tu ikiwa imewashwa katika mipangilio ya kisuluhishi cha DNS kwa kutumia maagizo ya "kitatuzi". Ili kutekeleza shambulizi, mshambulizi lazima awe na uwezo wa kuharibu pakiti za UDP kutoka kwa seva ya DNS au kupata udhibiti wa seva ya DNS. Athari imeonekana tangu kutolewa kwa nginx 0.6.18. Kiraka kinaweza kutumika kurekebisha tatizo katika matoleo ya awali.
Mabadiliko yasiyo ya usalama katika nginx 1.21.0:
- Usaidizi wa kubadilika umeongezwa kwa maagizo "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" na "uwsgi_ssl_certificate".
- Sehemu ya seva mbadala ya barua pepe imeongeza usaidizi wa "kuweka bomba" kwa kutuma maombi mengi ya POP3 au IMAP katika muunganisho mmoja, na pia imeongeza maagizo mapya "max_errors", ambayo hufafanua idadi ya juu zaidi ya hitilafu za itifaki ambapo muunganisho utafungwa.
- Imeongeza kigezo cha "fungua haraka" kwenye moduli ya mtiririko, kuwezesha hali ya "TCP Fungua Haraka" kwa soketi za kusikiliza.
- Matatizo ya kutoroka wahusika maalum wakati wa uelekezaji upya kiotomatiki kwa kuongeza kufyeka mwishoni yametatuliwa.
- Tatizo la kufunga miunganisho kwa wateja wakati wa kutumia bomba la SMTP limetatuliwa.
Chanzo: opennet.ru