Ang unang paglabas ng bagong pangunahing sangay ng nginx 1.21.0 ay ipinakita, kung saan magpapatuloy ang pagbuo ng mga bagong feature. Kasabay nito, ang isang corrective release ay inihanda kasabay ng suportadong stable branch 1.20.1, na nagpapakilala lamang ng mga pagbabagong nauugnay sa pag-aalis ng mga seryosong error at kahinaan. Sa susunod na taon, batay sa pangunahing sangay na 1.21.x, isang matatag na sangay na 1.22 ang mabubuo.
Inaayos ng mga bagong bersyon ang isang kahinaan (CVE-2021-23017) sa code para sa paglutas ng mga hostname sa DNS, na maaaring humantong sa isang pag-crash o potensyal na pagpapatupad ng attacker code. Ang problema ay nagpapakita mismo sa pagpoproseso ng ilang mga tugon sa DNS server na nagreresulta sa isang one-byte na buffer overflow. Lumalabas lang ang kahinaan kapag pinagana sa mga setting ng DNS resolver gamit ang "resolver" na direktiba. Upang magsagawa ng isang pag-atake, ang isang umaatake ay dapat na ma-spoof ang mga UDP packet mula sa DNS server o makakuha ng kontrol sa DNS server. Ang kahinaan ay lumitaw mula noong inilabas ang nginx 0.6.18. Maaaring gumamit ng patch upang ayusin ang problema sa mga mas lumang release.
Mga pagbabagong hindi pangseguridad sa nginx 1.21.0:
- Naidagdag ang variable na suporta sa mga direktiba na "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" at "uwsgi_ssl_key_certificate".
- Ang mail proxy module ay nagdagdag ng suporta para sa "pipelining" para sa pagpapadala ng maraming kahilingan sa POP3 o IMAP sa isang koneksyon, at nagdagdag din ng bagong direktiba na "max_errors", na tumutukoy sa maximum na bilang ng mga error sa protocol pagkatapos nito ay isasara ang koneksyon.
- Nagdagdag ng parameter na "fastopen" sa stream module, na pinapagana ang "TCP Fast Open" mode para sa mga listening socket.
- Ang mga problema sa pagtakas sa mga espesyal na character sa panahon ng mga awtomatikong pag-redirect sa pamamagitan ng pagdaragdag ng slash sa dulo ay nalutas na.
- Ang problema sa pagsasara ng mga koneksyon sa mga kliyente kapag gumagamit ng SMTP pipelining ay nalutas na.
Pinagmulan: opennet.ru