nginx 1.23.2 کی مرکزی شاخ جاری کی گئی ہے، جس کے اندر نئی خصوصیات کی ترقی جاری ہے، ساتھ ہی nginx 1.22.1 کی متوازی معاون مستحکم شاخ کا اجراء، جس میں صرف سنگین غلطیوں کے خاتمے سے متعلق تبدیلیاں شامل ہیں اور کمزوریاں
نئے ورژن ngx_http_mp2022_module ماڈیول میں دو کمزوریوں (CVE-41741-2022, CVE-41742-4) کو ختم کرتے ہیں، جو H.264/AAC فارمیٹ میں فائلوں سے اسٹریمنگ کو منظم کرنے کے لیے استعمال ہوتے ہیں۔ خاص طور پر تیار کردہ mp4 فائل پر کارروائی کرتے وقت کمزوریاں میموری کی خرابی یا میموری لیک ہونے کا باعث بن سکتی ہیں۔ کسی کام کے عمل کے ہنگامی طور پر ختم ہونے کا نتیجہ کے طور پر ذکر کیا جاتا ہے، لیکن دیگر مظاہر کو خارج نہیں کیا جاتا، جیسے کہ سرور پر کوڈ کے نفاذ کی تنظیم۔
یہ قابل ذکر ہے کہ 4 میں ngx_http_mp2012_module ماڈیول میں اسی طرح کے خطرے کو پہلے ہی طے کیا گیا تھا۔ اس کے علاوہ، F5 نے NGINX Plus پروڈکٹ میں اسی طرح کی کمزوری (CVE-2022-41743) کی اطلاع دی، جو ngx_http_hls_module ماڈیول کو متاثر کرتی ہے، جو HLS (Apple HTTP Live Streaming) پروٹوکول کے لیے معاونت فراہم کرتا ہے۔
کمزوریوں کو ختم کرنے کے علاوہ، nginx 1.23.2 میں درج ذیل تبدیلیاں تجویز کی گئی ہیں:
- "$proxy_protocol_tlv_*" متغیرات کے لیے شامل کیا گیا، جس میں TLV (Type-Length-Value) فیلڈز کی قدریں شامل ہیں جو Type-Length-Value PROXY v2 پروٹوکول میں ظاہر ہوتی ہیں۔
- TLS سیشن ٹکٹس کے لیے انکرپشن کیز کی خودکار گردش فراہم کی گئی، جو ssl_session_cache ہدایت میں مشترکہ میموری استعمال کرتے وقت استعمال ہوتی ہے۔
- غلط SSL ریکارڈ کی اقسام سے متعلق غلطیوں کے لیے لاگنگ کی سطح کو اہم سے معلوماتی سطح تک کم کر دیا گیا ہے۔
- نئے سیشن کے لیے میموری مختص کرنے میں ناکامی کے بارے میں پیغامات کے لیے لاگنگ کی سطح کو الرٹ سے انتباہ میں تبدیل کر دیا گیا ہے اور فی سیکنڈ ایک اندراج کو آؤٹ پٹ کرنے تک محدود ہے۔
- ونڈوز پلیٹ فارم پر، OpenSSL 3.0 کے ساتھ اسمبلی قائم کی گئی ہے۔
- لاگ میں PROXY پروٹوکول کی خرابیوں کی بہتر عکاسی
- ایک مسئلہ حل کیا جہاں "ssl_session_timeout" ہدایت میں متعین ٹائم آؤٹ کام نہیں کرتا تھا جب OpenSSL یا BoringSSL کی بنیاد پر TLSv1.3 استعمال کرتے تھے۔
ماخذ: opennet.ru