Nginx 1.21.0 yangi asosiy filialining birinchi versiyasi taqdim etildi, uning doirasida yangi xususiyatlarni ishlab chiqish davom etadi. Shu bilan birga, qo'llab-quvvatlanadigan barqaror filial 1.20.1 bilan parallel ravishda tuzatuvchi nashr tayyorlandi, bu faqat jiddiy xatolar va zaifliklarni bartaraf etish bilan bog'liq o'zgarishlarni kiritadi. Kelgusi yilda 1.21.x asosiy filiali asosida barqaror 1.22 filiali hosil bo'ladi.
Yangi versiyalar DNS-dagi xost nomlarini hal qilish uchun koddagi zaiflikni (CVE-2021-23017) tuzatadi, bu esa ishdan chiqishiga yoki tajovuzkor kodining potentsial bajarilishiga olib kelishi mumkin. Muammo DNS serverining ma'lum javoblarini qayta ishlashda namoyon bo'ladi, bu esa bir baytlik buferni to'ldirishga olib keladi. Zaiflik faqat βresolverβ direktivasi yordamida DNS-resolver sozlamalarida yoqilganda paydo bo'ladi. Hujumni amalga oshirish uchun tajovuzkor DNS-serverdan UDP paketlarini aldash yoki DNS-server ustidan nazoratni qo'lga kiritish imkoniyatiga ega bo'lishi kerak. Zaiflik nginx 0.6.18 versiyasi chiqqandan beri paydo bo'ldi. Eski versiyalarda muammoni tuzatish uchun yamoq ishlatilishi mumkin.
Nginx 1.21.0 da xavfsizlikka oid bo'lmagan o'zgarishlar:
- O'zgaruvchan qo'llab-quvvatlash "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" va "uwsgi_ssl_key" direktivalariga qo'shildi.
- Pochta proksi moduli bitta ulanishda bir nechta POP3 yoki IMAP so'rovlarini jo'natish uchun "quvurlarni uzatish" ni qo'llab-quvvatladi, shuningdek, ulanish yopiladigan protokol xatolarining maksimal sonini belgilaydigan yangi "max_errors" direktivasini qo'shdi.
- Oqim moduliga tinglash rozetkalari uchun βTCP Fast Openβ rejimini yoqadigan βfastopenβ parametri qoβshildi.
- Avtomatik qayta yo'naltirishlar paytida maxsus belgilardan qochish bilan bog'liq muammolar oxiriga slash qo'shish orqali hal qilindi.
- SMTP quvur liniyasidan foydalanganda mijozlarga ulanishni yopish muammosi hal qilindi.
Manba: opennet.ru