Филиали асосии nginx 1.23.2 бароварда шуд, ки дар доираи он таҳияи хусусиятҳои нав идома дорад ва инчунин нашри филиали устувори параллелӣ дастгирӣшавандаи nginx 1.22.1, ки танҳо тағйироти марбут ба рафъи хатогиҳои ҷиддиро дар бар мегирад ва осебпазирӣ.
Версияҳои нав ду осебпазириро (CVE-2022-41741, CVE-2022-41742) дар модули ngx_http_mp4_module, ки барои ташкили ҷараён аз файлҳо дар формати H.264/AAC истифода мешаванд, нест мекунанд. Ин осебпазирӣ метавонад ба вайроншавии хотира ё ихроҷи хотира ҳангоми коркарди файли mp4 махсус таҳияшуда оварда расонад. Дар натиҷа қатъи изтирории раванди кор зикр мешавад, аммо зуҳуроти дигар, ба монанди ташкили иҷроиши код дар сервер, истисно нестанд.
Қобили зикр аст, ки осебпазирии шабеҳ аллакай дар модули ngx_http_mp4_module дар соли 2012 ислоҳ шуда буд. Илова бар ин, F5 дар бораи осебпазирии шабеҳ (CVE-2022-41743) дар маҳсулоти NGINX Plus хабар дод, ки ба модули ngx_http_hls_module таъсир мерасонад, ки протоколи HLS (Apple HTTP Live Streaming)-ро дастгирӣ мекунад.
Илова ба рафъи осебпазирӣ, дар nginx 1.23.2 тағйироти зерин пешниҳод карда мешаванд:
- Дастгирии иловашуда барои тағирёбандаҳои "$proxy_protocol_tlv_*", ки дорои арзишҳои майдонҳои TLV (Type-Length-Value), ки дар протоколи Type-Length-Value PROXY v2 пайдо мешаванд.
- Таъмини гардиши автоматии калидҳои рамзгузорӣ барои чиптаҳои сессияи TLS, ки ҳангоми истифодаи хотираи муштарак дар дастури ssl_session_cache истифода мешавад.
- Сатҳи сабти ном барои хатогиҳои марбут ба намудҳои нодурусти сабти SSL аз сатҳи муҳим ба сатҳи иттилоотӣ паст карда шуд.
- Сатҳи сабти ном барои паёмҳо дар бораи имконнопазирии ҷудо кардани хотира барои ҷаласаи нав аз огоҳӣ ба огоҳӣ иваз карда шудааст ва бо баровардани як вуруд дар як сония маҳдуд аст.
- Дар платформаи Windows монтаж бо OpenSSL 3.0 таъсис дода шудааст.
- Инъикоси мукаммали хатогиҳои протоколи PROXY дар гузориш.
- Масъалае ҳал карда шуд, ки вақти дар дастури "ssl_session_timeout" муқарраршуда ҳангоми истифодаи TLSv1.3 дар асоси OpenSSL ё BoringSSL кор намекард.
Манбаъ: opennet.ru