Yeni özelliklerin geliştirilmesine devam edilecek olan nginx 1.21.0'ın yeni ana dalının ilk sürümü sunuldu. Aynı zamanda, desteklenen kararlı şube 1.20.1'e paralel olarak, yalnızca ciddi hataların ve güvenlik açıklarının giderilmesine ilişkin değişiklikleri getiren bir düzeltici sürüm hazırlandı. Gelecek yıl ana şube 1.21.x'e dayanarak istikrarlı bir şube 1.22 oluşturulacak.
Yeni sürümler, DNS'deki ana bilgisayar adlarını çözümlemeye yönelik koddaki bir güvenlik açığını (CVE-2021-23017) giderir; bu, çökmeye veya potansiyel olarak saldırgan kodunun çalıştırılmasına neden olabilir. Sorun, belirli DNS sunucusu yanıtlarının işlenmesinde, bir baytlık arabellek taşmasına neden olarak kendini gösterir. Güvenlik açığı yalnızca DNS çözümleyici ayarlarında "çözümleyici" yönergesi kullanılarak etkinleştirildiğinde ortaya çıkar. Bir saldırı gerçekleştirmek için saldırganın DNS sunucusundan UDP paketlerini taklit edebilmesi veya DNS sunucusunun kontrolünü ele geçirebilmesi gerekir. Güvenlik açığı, nginx 0.6.18'in piyasaya sürülmesinden bu yana ortaya çıktı. Eski sürümlerde sorunu çözmek için bir yama kullanılabilir.
Nginx 1.21.0'daki güvenlikle ilgili olmayan değişiklikler:
- "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" ve "uwsgi_ssl_certificate_key" direktiflerine değişken destek eklendi.
- Posta proxy modülü, tek bir bağlantıda birden fazla POP3 veya IMAP isteği göndermek için "boru hattı" desteği ekledi ve ayrıca bağlantının kapatılacağı maksimum protokol hatası sayısını tanımlayan yeni bir "max_errors" yönergesi ekledi.
- Dinleme yuvaları için "TCP Hızlı Açma" modunu etkinleştirerek akış modülüne bir "fastopen" parametresi eklendi.
- Otomatik yönlendirmeler sırasında özel karakterlerin sonuna eğik çizgi eklenerek kaçılmasıyla ilgili sorunlar çözüldü.
- SMTP ardışık düzenini kullanırken istemcilere olan bağlantıların kapatılmasıyla ilgili sorun çözüldü.
Kaynak: opennet.ru