nginx 1.23.2 இன் முக்கிய கிளை வெளியிடப்பட்டது, அதற்குள் புதிய அம்சங்களின் வளர்ச்சி தொடர்கிறது, அதே போல் nginx 1.22.1 இன் இணையான ஆதரவு நிலையான கிளையின் வெளியீடும், இதில் கடுமையான பிழைகளை நீக்குவது தொடர்பான மாற்றங்கள் மட்டுமே அடங்கும். பாதிப்புகள்.
புதிய பதிப்புகள் ngx_http_mp2022_module தொகுதியில் உள்ள இரண்டு பாதிப்புகளை (CVE-41741-2022, CVE-41742-4) நீக்குகிறது, இது H.264/AAC வடிவத்தில் கோப்புகளிலிருந்து ஸ்ட்ரீமிங்கை ஒழுங்கமைக்கப் பயன்படுகிறது. சிறப்பாக வடிவமைக்கப்பட்ட mp4 கோப்பை செயலாக்கும்போது பாதிப்புகள் நினைவக சிதைவு அல்லது நினைவக கசிவுக்கு வழிவகுக்கும். ஒரு பணிச் செயல்முறையின் அவசர முடிவு அதன் விளைவாகக் குறிப்பிடப்பட்டுள்ளது, ஆனால் சேவையகத்தில் குறியீடு செயல்படுத்தல் அமைப்பு போன்ற பிற வெளிப்பாடுகள் விலக்கப்படவில்லை.
ஏற்கனவே ngx_http_mp4_module தொகுதியில் இதேபோன்ற பாதிப்பு 2012 இல் சரி செய்யப்பட்டது குறிப்பிடத்தக்கது. கூடுதலாக, NGINX Plus தயாரிப்பில் F5 இதேபோன்ற பாதிப்பை (CVE-2022-41743) அறிவித்தது, இது ngx_http_hls_module தொகுதியைப் பாதிக்கிறது, இது HLS (ஆப்பிள் HTTP லைவ் ஸ்ட்ரீமிங்) நெறிமுறைக்கு ஆதரவை வழங்குகிறது.
பாதிப்புகளை நீக்குவதுடன், பின்வரும் மாற்றங்கள் nginx 1.23.2 இல் முன்மொழியப்பட்டுள்ளன:
- வகை-நீளம்-மதிப்பு PROXY v2 நெறிமுறையில் தோன்றும் TLV (வகை-நீளம்-மதிப்பு) புலங்களின் மதிப்புகளைக் கொண்ட “$proxy_protocol_tlv_*” மாறிகளுக்கான ஆதரவு சேர்க்கப்பட்டது.
- TLS அமர்வு டிக்கெட்டுகளுக்கான குறியாக்க விசைகளின் தானியங்கி சுழற்சி வழங்கப்படுகிறது, ssl_session_cache கட்டளையில் பகிரப்பட்ட நினைவகத்தைப் பயன்படுத்தும் போது பயன்படுத்தப்படுகிறது.
- தவறான SSL பதிவு வகைகளுடன் தொடர்புடைய பிழைகளுக்கான பதிவு நிலை முக்கியமான நிலையிலிருந்து தகவல் நிலைக்குக் குறைக்கப்பட்டது.
- ஒரு புதிய அமர்வுக்கு நினைவகத்தை ஒதுக்க இயலாமை பற்றிய செய்திகளுக்கான பதிவு நிலை எச்சரிக்கையிலிருந்து எச்சரிக்கையாக மாற்றப்பட்டது மற்றும் ஒரு வினாடிக்கு ஒரு உள்ளீட்டை வெளியிடுவதற்கு மட்டுப்படுத்தப்பட்டுள்ளது.
- விண்டோஸ் இயங்குதளத்தில், OpenSSL 3.0 உடன் கூடிய சட்டசபை நிறுவப்பட்டுள்ளது.
- பதிவில் உள்ள ப்ராக்ஸி நெறிமுறை பிழைகளின் மேம்படுத்தப்பட்ட பிரதிபலிப்பு.
- OpenSSL அல்லது BoringSSL அடிப்படையில் TLSv1.3 ஐப் பயன்படுத்தும் போது "ssl_session_timeout" கட்டளையில் குறிப்பிடப்பட்ட காலக்கெடு வேலை செய்யாத சிக்கல் சரி செய்யப்பட்டது.
ஆதாரம்: opennet.ru