nginx 1.23.2 యొక్క ప్రధాన శాఖ విడుదల చేయబడింది, దానిలో కొత్త ఫీచర్ల అభివృద్ధి కొనసాగుతుంది, అలాగే nginx 1.22.1 యొక్క సమాంతర మద్దతు ఉన్న స్థిరమైన శాఖ విడుదల అవుతుంది, ఇందులో తీవ్రమైన లోపాల తొలగింపుకు సంబంధించిన మార్పులు మాత్రమే ఉంటాయి మరియు దుర్బలత్వాలు.
కొత్త సంస్కరణలు ngx_http_mp2022_module మాడ్యూల్లోని రెండు దుర్బలత్వాలను (CVE-41741-2022, CVE-41742-4) తొలగిస్తాయి, ఇది ఫైల్ల నుండి H.264/AAC ఫార్మాట్లో స్ట్రీమింగ్ను నిర్వహించడానికి ఉపయోగించబడుతుంది. ప్రత్యేకంగా రూపొందించిన mp4 ఫైల్ను ప్రాసెస్ చేస్తున్నప్పుడు బలహీనతలు మెమరీ అవినీతికి లేదా మెమరీ లీక్కి దారితీయవచ్చు. పని ప్రక్రియ యొక్క అత్యవసర ముగింపు పర్యవసానంగా పేర్కొనబడింది, అయితే సర్వర్లో కోడ్ అమలు యొక్క సంస్థ వంటి ఇతర వ్యక్తీకరణలు మినహాయించబడవు.
4లో ngx_http_mp2012_module మాడ్యూల్లో ఇలాంటి దుర్బలత్వం ఇప్పటికే పరిష్కరించబడింది. అదనంగా, F5 NGINX ప్లస్ ఉత్పత్తిలో ఇలాంటి దుర్బలత్వాన్ని (CVE-2022-41743) నివేదించింది, ఇది ngx_http_hls_module మాడ్యూల్ను ప్రభావితం చేస్తుంది, ఇది HLS (Apple HTTP లైవ్ స్ట్రీమింగ్) ప్రోటోకాల్కు మద్దతునిస్తుంది.
దుర్బలత్వాలను తొలగించడంతో పాటు, nginx 1.23.2 క్రింది మార్పులను ప్రతిపాదిస్తుంది:
- టైప్-లెంగ్త్-వాల్యూ PROXY v2 ప్రోటోకాల్లో కనిపించే TLV (రకం-పొడవు-విలువ) ఫీల్డ్ల విలువలను కలిగి ఉన్న “$proxy_protocol_tlv_*” వేరియబుల్స్కు మద్దతు జోడించబడింది.
- TLS సెషన్ టిక్కెట్ల కోసం ఎన్క్రిప్షన్ కీల ఆటోమేటిక్ రొటేషన్ అందించబడింది, ssl_session_cache డైరెక్టివ్లో షేర్డ్ మెమరీని ఉపయోగిస్తున్నప్పుడు ఉపయోగించబడుతుంది.
- తప్పు SSL రికార్డ్ రకాలకు సంబంధించిన లోపాల కోసం లాగింగ్ స్థాయి కీలకం నుండి సమాచార స్థాయికి తగ్గించబడింది.
- కొత్త సెషన్ కోసం మెమరీని కేటాయించలేకపోవడం గురించిన సందేశాల లాగింగ్ స్థాయి హెచ్చరిక నుండి హెచ్చరించడానికి మార్చబడింది మరియు సెకనుకు ఒక ఎంట్రీని అవుట్పుట్ చేయడానికి పరిమితం చేయబడింది.
- విండోస్ ప్లాట్ఫారమ్లో, OpenSSL 3.0తో అసెంబ్లీ ఏర్పాటు చేయబడింది.
- లాగ్లో ప్రాక్సీ ప్రోటోకాల్ ఎర్రర్ల యొక్క మెరుగైన ప్రతిబింబం.
- OpenSSL లేదా BoringSSL ఆధారంగా TLSv1.3ని ఉపయోగిస్తున్నప్పుడు "ssl_session_timeout" డైరెక్టివ్లో పేర్కొన్న గడువు ముగింపు పని చేయని సమస్య పరిష్కరించబడింది.
మూలం: opennet.ru