มีการนำเสนอสาขาหลักใหม่ของ nginx 1.21.0 รุ่นแรกแล้ว ซึ่งการพัฒนาคุณสมบัติใหม่จะดำเนินต่อไป ในเวลาเดียวกัน มีการเตรียมการเปิดตัวการแก้ไขควบคู่ไปกับสาขาเสถียรที่รองรับ 1.20.1 ซึ่งแนะนำการเปลี่ยนแปลงที่เกี่ยวข้องกับการกำจัดข้อผิดพลาดร้ายแรงและช่องโหว่เท่านั้น ในปีหน้า ตามสาขาหลัก 1.21.x จะมีการสร้างสาขาที่มั่นคง 1.22
เวอร์ชันใหม่แก้ไขช่องโหว่ (CVE-2021-23017) ในโค้ดสำหรับแก้ไขชื่อโฮสต์ใน DNS ซึ่งอาจนำไปสู่การหยุดทำงานหรืออาจเรียกใช้โค้ดของผู้โจมตีได้ ปัญหาปรากฏในการประมวลผลการตอบสนองของเซิร์ฟเวอร์ DNS บางอย่างซึ่งส่งผลให้เกิดบัฟเฟอร์ล้นหนึ่งไบต์ ช่องโหว่จะปรากฏขึ้นเฉพาะเมื่อเปิดใช้งานในการตั้งค่าตัวแก้ไข DNS โดยใช้คำสั่ง "ตัวแก้ไข" ในการโจมตี ผู้โจมตีจะต้องสามารถปลอมแพ็คเก็ต UDP จากเซิร์ฟเวอร์ DNS หรือเข้าควบคุมเซิร์ฟเวอร์ DNS ได้ ช่องโหว่นี้เกิดขึ้นตั้งแต่การเปิดตัว nginx 0.6.18 สามารถใช้โปรแกรมแก้ไขเพื่อแก้ไขปัญหาในรุ่นเก่าได้
การเปลี่ยนแปลงที่ไม่ใช่ด้านความปลอดภัยใน nginx 1.21.0:
- เพิ่มการสนับสนุนตัวแปรในคำสั่ง "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" และ "uwsgi_ssl_certificate_key"
- โมดูลพร็อกซีเมลได้เพิ่มการสนับสนุนสำหรับ "ไปป์ไลน์" สำหรับการส่งคำขอ POP3 หรือ IMAP หลายรายการในการเชื่อมต่อเดียว และยังเพิ่มคำสั่งใหม่ "max_errors" ซึ่งกำหนดจำนวนข้อผิดพลาดโปรโตคอลสูงสุดหลังจากนั้นการเชื่อมต่อจะถูกปิด
- เพิ่มพารามิเตอร์ "fastopen" ให้กับโมดูลสตรีม เปิดใช้งานโหมด "TCP Fast Open" สำหรับซ็อกเก็ตการฟัง
- ปัญหาเกี่ยวกับการหลีกเลี่ยงอักขระพิเศษระหว่างการเปลี่ยนเส้นทางอัตโนมัติโดยการเพิ่มเครื่องหมายทับที่ส่วนท้ายได้รับการแก้ไขแล้ว
- ปัญหาเกี่ยวกับการปิดการเชื่อมต่อไปยังไคลเอนต์เมื่อใช้การวางท่อ SMTP ได้รับการแก้ไขแล้ว
ที่มา: opennet.ru