புரோஹோஸ்டர் > Блог > இணைய செய்தி > Nginx 1.22.1 மற்றும் 1.23.2 மேம்படுத்தப்பட்ட பாதிப்புகள் சரி செய்யப்பட்டன

Nginx 1.22.1 மற்றும் 1.23.2 மேம்படுத்தப்பட்ட பாதிப்புகள் சரி செய்யப்பட்டன

nginx 1.23.2 இன் முக்கிய கிளை வெளியிடப்பட்டது, அதற்குள் புதிய அம்சங்களின் வளர்ச்சி தொடர்கிறது, அதே போல் nginx 1.22.1 இன் இணையான ஆதரவு நிலையான கிளையின் வெளியீடும், இதில் கடுமையான பிழைகளை நீக்குவது தொடர்பான மாற்றங்கள் மட்டுமே அடங்கும். பாதிப்புகள்.

புதிய பதிப்புகள் ngx_http_mp2022_module தொகுதியில் உள்ள இரண்டு பாதிப்புகளை (CVE-41741-2022, CVE-41742-4) நீக்குகிறது, இது H.264/AAC வடிவத்தில் கோப்புகளிலிருந்து ஸ்ட்ரீமிங்கை ஒழுங்கமைக்கப் பயன்படுகிறது. சிறப்பாக வடிவமைக்கப்பட்ட mp4 கோப்பை செயலாக்கும்போது பாதிப்புகள் நினைவக சிதைவு அல்லது நினைவக கசிவுக்கு வழிவகுக்கும். ஒரு பணிச் செயல்முறையின் அவசர முடிவு அதன் விளைவாகக் குறிப்பிடப்பட்டுள்ளது, ஆனால் சேவையகத்தில் குறியீடு செயல்படுத்தல் அமைப்பு போன்ற பிற வெளிப்பாடுகள் விலக்கப்படவில்லை.

ஏற்கனவே ngx_http_mp4_module தொகுதியில் இதேபோன்ற பாதிப்பு 2012 இல் சரி செய்யப்பட்டது குறிப்பிடத்தக்கது. கூடுதலாக, NGINX Plus தயாரிப்பில் F5 இதேபோன்ற பாதிப்பை (CVE-2022-41743) அறிவித்தது, இது ngx_http_hls_module தொகுதியைப் பாதிக்கிறது, இது HLS (ஆப்பிள் HTTP லைவ் ஸ்ட்ரீமிங்) நெறிமுறைக்கு ஆதரவை வழங்குகிறது.

பாதிப்புகளை நீக்குவதுடன், பின்வரும் மாற்றங்கள் nginx 1.23.2 இல் முன்மொழியப்பட்டுள்ளன:

  • வகை-நீளம்-மதிப்பு PROXY v2 நெறிமுறையில் தோன்றும் TLV (வகை-நீளம்-மதிப்பு) புலங்களின் மதிப்புகளைக் கொண்ட “$proxy_protocol_tlv_*” மாறிகளுக்கான ஆதரவு சேர்க்கப்பட்டது.
  • TLS அமர்வு டிக்கெட்டுகளுக்கான குறியாக்க விசைகளின் தானியங்கி சுழற்சி வழங்கப்படுகிறது, ssl_session_cache கட்டளையில் பகிரப்பட்ட நினைவகத்தைப் பயன்படுத்தும் போது பயன்படுத்தப்படுகிறது.
  • தவறான SSL பதிவு வகைகளுடன் தொடர்புடைய பிழைகளுக்கான பதிவு நிலை முக்கியமான நிலையிலிருந்து தகவல் நிலைக்குக் குறைக்கப்பட்டது.
  • ஒரு புதிய அமர்வுக்கு நினைவகத்தை ஒதுக்க இயலாமை பற்றிய செய்திகளுக்கான பதிவு நிலை எச்சரிக்கையிலிருந்து எச்சரிக்கையாக மாற்றப்பட்டது மற்றும் ஒரு வினாடிக்கு ஒரு உள்ளீட்டை வெளியிடுவதற்கு மட்டுப்படுத்தப்பட்டுள்ளது.
  • விண்டோஸ் இயங்குதளத்தில், OpenSSL 3.0 உடன் கூடிய சட்டசபை நிறுவப்பட்டுள்ளது.
  • பதிவில் உள்ள ப்ராக்ஸி நெறிமுறை பிழைகளின் மேம்படுத்தப்பட்ட பிரதிபலிப்பு.
  • OpenSSL அல்லது BoringSSL அடிப்படையில் TLSv1.3 ஐப் பயன்படுத்தும் போது "ssl_session_timeout" கட்டளையில் குறிப்பிடப்பட்ட காலக்கெடு வேலை செய்யாத சிக்கல் சரி செய்யப்பட்டது.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்