Nginx 1.23.2 ning asosiy tarmog'i chiqarildi, uning doirasida yangi xususiyatlarni ishlab chiqish davom etmoqda, shuningdek, nginx 1.22.1 ning parallel qo'llab-quvvatlanadigan barqaror filialini chiqarish davom etmoqda, bu faqat jiddiy xatolarni bartaraf etish bilan bog'liq o'zgarishlarni o'z ichiga oladi va zaifliklar.
Yangi versiyalar H.2022/AAC formatidagi fayllardan oqimni tashkil qilish uchun foydalaniladigan ngx_http_mp41741_module modulidagi ikkita zaiflikni (CVE-2022-41742, CVE-4-264) yo'q qiladi. Zaifliklar maxsus tayyorlangan mp4 faylni qayta ishlashda xotira buzilishiga yoki xotiraning oqib ketishiga olib kelishi mumkin. Natijada ish jarayonining favqulodda to'xtatilishi aytiladi, ammo boshqa ko'rinishlar istisno qilinmaydi, masalan, serverda kod bajarilishini tashkil etish.
Shunisi e'tiborga loyiqki, shunga o'xshash zaiflik 4 yilda ngx_http_mp2012_module modulida allaqachon tuzatilgan edi. Bundan tashqari, F5 NGINX Plus mahsulotida HLS (Apple HTTP Live Streaming) protokolini qoβllab-quvvatlashni taβminlovchi ngx_http_hls_module moduliga taβsir qiluvchi xuddi shunday zaiflik (CVE-2022-41743) haqida xabar berdi.
Zaifliklarni bartaraf etishdan tashqari, nginx 1.23.2 da quyidagi o'zgarishlar taklif etiladi:
- "$proxy_protocol_tlv_*" o'zgaruvchilari uchun qo'shimcha qo'llab-quvvatlash qo'shildi, ularda Type-Length-Value PROXY v2 protokolida paydo bo'lgan TLV (Type-Length-Value) maydonlarining qiymatlari mavjud.
- ssl_session_cache direktivasida umumiy xotiradan foydalanishda foydalaniladigan TLS seans chiptalari uchun shifrlash kalitlarini avtomatik aylantirish taΚΌminlandi.
- Noto'g'ri SSL yozuvlari turlari bilan bog'liq xatolarni qayd qilish darajasi kritik darajadan axborot darajasiga tushirildi.
- Yangi seans uchun xotira ajrata olmasligi haqidagi xabarlarni qayd qilish darajasi ogohlantirishdan ogohlantirishga o'zgartirildi va soniyada bitta yozuvni chiqarish bilan cheklangan.
- Windows platformasida OpenSSL 3.0 bilan yig'ish o'rnatildi.
- PROXY protokoli xatolarining jurnalda aks ettirilishi yaxshilandi.
- OpenSSL yoki BoringSSL asosidagi TLSv1.3 dan foydalanilganda "ssl_session_timeout" direktivasida belgilangan vaqt tugashi ishlamay qolgan muammo tuzatildi.
Manba: opennet.ru