Yeni özelliklerin geliştirilmesinin devam ettiği nginx 1.23.2'nin ana dalının yanı sıra, yalnızca ciddi hataların ortadan kaldırılmasıyla ilgili değişiklikleri içeren nginx 1.22.1'in paralel destekli kararlı dalının piyasaya sürülmesi ve güvenlik açıkları.
Yeni sürümler, H.2022/AAC formatındaki dosyalardan akışı düzenlemek için kullanılan ngx_http_mp41741_module modülündeki iki güvenlik açığını (CVE-2022-41742, CVE-4-264) ortadan kaldırıyor. Güvenlik açıkları, özel hazırlanmış bir mp4 dosyasını işlerken bellek bozulmasına veya bellek sızıntısına neden olabilir. Sonuç olarak bir iş sürecinin acil olarak sonlandırılmasından bahsedilir, ancak sunucuda kod yürütmenin organizasyonu gibi diğer belirtiler de hariç tutulmaz.
Benzer bir güvenlik açığının ngx_http_mp4_module modülünde 2012 yılında zaten düzeltilmiş olması dikkat çekicidir. Ayrıca F5, NGINX Plus ürününde de HLS (Apple HTTP Live Streaming) protokolüne destek sağlayan ngx_http_hls_module modülünü etkileyen benzer bir güvenlik açığı (CVE-2022-41743) bildirdi.
Nginx 1.23.2'de güvenlik açıklarını ortadan kaldırmanın yanı sıra aşağıdaki değişiklikler de önerilmektedir:
- Type-Length-Value PROXY v2 protokolünde görünen TLV (Type-Length-Value) alanlarının değerlerini içeren “$proxy_protocol_tlv_*” değişkenleri için destek eklendi.
- TLS oturum biletleri için ssl_session_cache yönergesinde paylaşılan bellek kullanılırken kullanılan şifreleme anahtarlarının otomatik rotasyonu sağlandı.
- Yanlış SSL kayıt türleriyle ilgili hataların günlük kaydı düzeyi, kritik düzeyden bilgi düzeyine indirildi.
- Yeni bir oturum için bellek ayrılamamasıyla ilgili mesajların kayıt düzeyi, uyarıdan uyarıya değiştirildi ve saniyede bir giriş çıktısı ile sınırlandırıldı.
- Windows platformunda OpenSSL 3.0 ile montaj kurulmuştur.
- PROXY protokolü hatalarının günlüğe yansıtılması iyileştirildi.
- OpenSSL veya BoringSSL tabanlı TLSv1.3 kullanıldığında "ssl_session_timeout" yönergesinde belirtilen zaman aşımının çalışmaması sorunu düzeltildi.
Kaynak: opennet.ru