Филиали асосии nginx 1.23.2 бароварда шуд, ки дар доираи он таҳияи хусусиятҳои нав идома дорад ва инчунин нашри филиали устувори параллелӣ дастгирӣшавандаи nginx 1.22.1, ки танҳо тағйироти марбут ба рафъи хатогиҳои ҷиддиро дар бар мегирад ва осебпазирӣ.
Нусхаҳои нав ду осебпазириро (CVE-2022-41741, CVE-2022-41742) дар модули ngx_http_mp4_module, ки барои пахши файлҳои H.264/AAC истифода мешавад, ислоҳ мекунанд. Осебпазириҳо метавонанд ҳангоми коркарди файли mp4-и махсус таҳияшуда ба вайроншавии хотира ё ихроҷи хотира оварда расонанд. Оқибатҳо ҳамчун суқути ҷараёни кор зикр шудаанд, аммо дигар зуҳурот, ба монанди иҷрои код, истисно карда намешаванд. сервер.
Қобили зикр аст, ки осебпазирии шабеҳ аллакай дар модули ngx_http_mp4_module дар соли 2012 ислоҳ шуда буд. Илова бар ин, F5 дар бораи осебпазирии шабеҳ (CVE-2022-41743) дар маҳсулоти NGINX Plus хабар дод, ки ба модули ngx_http_hls_module таъсир мерасонад, ки протоколи HLS (Apple HTTP Live Streaming)-ро дастгирӣ мекунад.
Илова ба рафъи осебпазирӣ, дар nginx 1.23.2 тағйироти зерин пешниҳод карда мешаванд:
- Дастгирии иловашуда барои тағирёбандаҳои "$proxy_protocol_tlv_*", ки дорои арзишҳои майдонҳои TLV (Type-Length-Value), ки дар протоколи Type-Length-Value PROXY v2 пайдо мешаванд.
- Таъмини гардиши автоматии калидҳои рамзгузорӣ барои чиптаҳои сессияи TLS, ки ҳангоми истифодаи хотираи муштарак дар дастури ssl_session_cache истифода мешавад.
- Сатҳи сабти хатогиҳо вобаста ба намудҳои сабтҳои нодуруст SSL, аз сатҳи муҳим ба сатҳи иттилоотӣ паст карда шуд.
- Сатҳи сабти ном барои паёмҳо дар бораи имконнопазирии ҷудо кардани хотира барои ҷаласаи нав аз огоҳӣ ба огоҳӣ иваз карда шудааст ва бо баровардани як вуруд дар як сония маҳдуд аст.
- Дар платформаи Windows монтаж бо OpenSSL 3.0 таъсис дода шудааст.
- Инъикоси мукаммали хатогиҳои протоколи PROXY дар гузориш.
- Масъалае ҳал карда шуд, ки вақти дар дастури "ssl_session_timeout" муқарраршуда ҳангоми истифодаи TLSv1.3 дар асоси OpenSSL ё BoringSSL кор намекард.
Манбаъ: opennet.ru
