Сформовано випуск основної гілки nginx 1.23.2, в рамках якої продовжується розвиток нових можливостей, а також випуск паралельно підтримуваної стабільної гілки nginx 1.22.1, до якої вносяться лише зміни, пов'язані з усуненням серйозних помилок та вразливостей.
У нових версіях усунуто дві вразливості (CVE-2022-41741, CVE-2022-41742) у модулі ngx_http_mp4_module, який використовується для організації потокового мовлення з файлів у форматі H.264/AAC. Уразливості можуть призвести до пошкодження пам'яті або витоку вмісту пам'яті під час обробки спеціально оформленого файлу у форматі mp4. Як наслідки згадується аварійне завершення робочого процесу, але виключаються й інші прояви, такі як організація виконання коду на сервері.
Примітно, що схожа вразливість вже усувалася у модулі ngx_http_mp4_module у 2012 році. Крім того, компанія F5 повідомила про схожу вразливість (CVE-2022-41743) у продукті NGINX Plus, що стосується модуль ngx_http_hls_module, що забезпечує підтримку протоколу HLS (Apple HTTP Live Streaming).
Крім усунення вразливостей у nginx 1.23.2 запропоновані такі зміни:
- Додано підтримку змінних «$proxy_protocol_tlv_*», в які записуються значення полів TLV (Type-Length-Value), що фігурують у протоколі Type-Length-Value PROXY v2.
- Забезпечена автоматична ротація ключів шифрування для сесійних тикетів TLS, що використовується при використанні пам'яті, що розділяється, в директиві ssl_session_cache.
- Рівень ведення лога для помилок, пов'язаних із некоректним типом записів SSL, знижено з критичного до інформаційного рівня.
- Рівень ведення лога для повідомлень про неможливість виділити пам'ять нового сеансу змінено з alert на warn і обмежений виведенням однієї записи в секунду.
- На платформі Windows налагоджено збирання з OpenSSL 3.0.
- Налагоджено відображення у лозі помилок протоколу PROXY.
- Вирішено проблему, через яку під час використання TLSv1.3 на базі OpenSSL або BoringSSL не працював тайм-аут, вказаний у директиві «ssl_session_timeout».
Джерело: opennet.ru