nginx 1.27.0 యొక్క కొత్త ప్రధాన శాఖ యొక్క మొదటి విడుదల అందించబడింది, దానిలో కొత్త ఫీచర్ల అభివృద్ధి కొనసాగుతుంది. అదే సమయంలో, nginx 1.26.1 విడుదల చేయబడింది, ఇది సమాంతర మద్దతు ఉన్న స్థిరమైన శాఖకు చెందినది, ఇది తీవ్రమైన లోపాలు మరియు దుర్బలత్వాల తొలగింపుకు సంబంధించిన మార్పులను మాత్రమే కలిగి ఉంటుంది. తదుపరి సంవత్సరం, ప్రధాన శాఖ 1.27.x ఆధారంగా, స్థిరమైన శాఖ 1.28 ఏర్పడుతుంది. ప్రాజెక్ట్ కోడ్ C లో వ్రాయబడింది మరియు BSD లైసెన్స్ క్రింద పంపిణీ చేయబడుతుంది.
కొత్త విడుదలలు ప్రయోగాత్మక ngx_http_v4 మాడ్యూల్ను ప్రభావితం చేసే 3 దుర్బలత్వాలను పరిష్కరిస్తాయి (డిఫాల్ట్గా నిలిపివేయబడింది), ఇది HTTP/3 కోసం రవాణాగా QUIC ప్రోటోకాల్ను ఉపయోగించి HTTP/2 ప్రోటోకాల్కు మద్దతునిస్తుంది. ngx_http_v3_module మాడ్యూల్ యాక్టివేట్ చేయబడినప్పుడు మరియు “quic” ఎంపికను “listen” డైరెక్టివ్లో సెట్ చేసినప్పుడు మాత్రమే సమస్యలు కనిపిస్తాయి. Angie మరియు FreeNginx ఫోర్క్స్ యొక్క దుర్బలత్వంపై ఇంకా ఎటువంటి పదం లేదు.
CVE-2024-34161 దుర్బలత్వం 4096 బైట్ల కంటే ఎక్కువ MTU విలువ కలిగిన సిస్టమ్లపై వర్కర్ ప్రాసెస్ మెమరీని లీక్ చేస్తుంది. క్లయింట్ తుది సందేశాన్ని పంపిన తర్వాత కనెక్షన్ నెగోషియేషన్లో ఉపయోగించిన క్రిప్టో ఫ్రేమ్లను పంపినప్పుడు మెమరీ లీక్ ఏర్పడుతుంది.
CVE-2024-31079, CVE-2024-32760, మరియు CVE-2024-35200 మెమరీ అవినీతి దుర్బలత్వాలు QUIC ప్రోటోకాల్ ఆధారంగా ప్రత్యేకంగా రూపొందించిన సెషన్ను ఏర్పాటు చేయడం ద్వారా nginx వర్కర్ ప్రక్రియను క్రాష్ చేయడానికి రిమోట్ అటాకర్ను అనుమతిస్తాయి. అదే సమయంలో, దుర్బలత్వాల కోసం CVE-2024-31079 మరియు CVE-2024-32760, దాడి యొక్క ఇతర పరిణామాలను మినహాయించలేము (దాడి చేసేవారి కోడ్ని అమలు చేసే సంభావ్య అవకాశం?). వివరాలు ఇవ్వబడలేదు, కానీ కోడ్లోని దిద్దుబాట్లను బట్టి చూస్తే, ఇప్పటికే విముక్తి పొందిన మెమరీ (ఉపయోగం-తరవాత-ఉచితం), శ్రేణి కోసం తప్పు మెమరీ కేటాయింపు, శూన్య పాయింటర్ డెరిఫరెన్స్ మరియు పరిమాణాన్ని సరిగ్గా తనిఖీ చేయకపోవడం వల్ల దుర్బలత్వాలు ఏర్పడతాయి. డేటా బఫర్లో ఉంచబడింది.
nginx 1.27.0లో దుర్బలత్వాల తొలగింపుతో సంబంధం లేని మార్పులలో:
- వేరియబుల్స్ని పేర్కొనడానికి మద్దతు "proxy_limit_rate", "fastcgi_limit_rate", "scgi_limit_rate" మరియు "uwsgi_limit_rate" డైరెక్టివ్లకు జోడించబడింది.
- "gzip", "gunzip", "ssi", "sub_filter" లేదా "grpc_pass" ఆదేశాలను ఉపయోగించే కాన్ఫిగరేషన్లలో దీర్ఘకాలిక అభ్యర్థనలను ప్రాసెస్ చేస్తున్నప్పుడు మెమరీ వినియోగం తగ్గింది.
- "--with-atomic" ఎంపికను ఉపయోగిస్తున్నప్పుడు GCC 14లో రీసెట్ చేయడంతో సమస్యలు పరిష్కరించబడ్డాయి.
- HTTP/3 అమలులో లోపాలు పరిష్కరించబడ్డాయి.
అదనంగా, మేము FreeNginx 1.27.0 యొక్క కొత్త ప్రధాన శాఖ ప్రచురణను గమనించవచ్చు, ఇది Nginx యొక్క ముఖ్య డెవలపర్లలో ఒకరైన Maxim Dunin చే అభివృద్ధి చేయబడింది. FreeNginx కార్పొరేట్ జోక్యం లేకుండా Nginx కోడ్ బేస్ అభివృద్ధిని అందించే లాభాపేక్ష లేని ప్రాజెక్ట్గా ఉంచబడింది. అభ్యర్థన బాడీని చదివేటప్పుడు కొత్త వెర్షన్ ఎర్రర్ హ్యాండ్లింగ్ను మెరుగుపరిచింది, NetBSD 10.0లో అసెంబ్లీని మెరుగుపరచింది మరియు PID ఫైల్ల మెరుగైన వ్రాత ("ఆఫ్" పరామితి "pid" డైరెక్టివ్కి జోడించబడింది).
మూలం: opennet.ru
