Nhánh chính của nginx 1.23.2 đã được phát hành, trong đó việc phát triển các tính năng mới vẫn tiếp tục, cũng như việc phát hành nhánh ổn định được hỗ trợ song song của nginx 1.22.1, chỉ bao gồm các thay đổi liên quan đến việc loại bỏ các lỗi nghiêm trọng và những điểm yếu.
Các phiên bản mới loại bỏ hai lỗ hổng (CVE-2022-41741, CVE-2022-41742) trong mô-đun ngx_http_mp4_module, được sử dụng để tổ chức phát trực tuyến từ các tệp ở định dạng H.264/AAC. Các lỗ hổng có thể dẫn đến hỏng bộ nhớ hoặc rò rỉ bộ nhớ khi xử lý tệp mp4 được tạo đặc biệt. Hậu quả là việc chấm dứt khẩn cấp một quy trình làm việc được đề cập nhưng không loại trừ các biểu hiện khác, chẳng hạn như việc tổ chức thực thi mã trên máy chủ.
Đáng chú ý là một lỗ hổng tương tự đã được sửa trong mô-đun ngx_http_mp4_module vào năm 2012. Ngoài ra, F5 đã báo cáo một lỗ hổng tương tự (CVE-2022-41743) trong sản phẩm NGINX Plus, ảnh hưởng đến mô-đun ngx_http_hls_module, mô-đun cung cấp hỗ trợ cho giao thức HLS (Apple HTTP Live Streaming).
Ngoài việc loại bỏ các lỗ hổng, nginx 1.23.2 còn đề xuất những thay đổi sau:
- Đã thêm hỗ trợ cho các biến “$proxy_protocol_tlv_*”, chứa các giá trị của các trường TLV (Loại-Độ dài-Giá trị) xuất hiện trong giao thức Loại-Độ dài-Giá trị PROXY v2.
- Cung cấp tính năng tự động xoay khóa mã hóa cho vé phiên TLS, được sử dụng khi sử dụng bộ nhớ dùng chung trong lệnh ssl_session_cache.
- Mức ghi nhật ký cho các lỗi liên quan đến loại bản ghi SSL không chính xác đã được hạ từ mức quan trọng xuống mức thông tin.
- Mức ghi nhật ký cho các thông báo về việc không thể phân bổ bộ nhớ cho phiên mới đã được thay đổi từ cảnh báo thành cảnh báo và bị giới hạn ở việc xuất một mục nhập mỗi giây.
- Trên nền tảng Windows, việc lắp ráp với OpenSSL 3.0 đã được thiết lập.
- Cải thiện việc phản ánh các lỗi giao thức PROXY trong nhật ký.
- Đã khắc phục sự cố trong đó thời gian chờ được chỉ định trong lệnh "ssl_session_timeout" không hoạt động khi sử dụng TLSv1.3 dựa trên OpenSSL hoặc BoringSSL.
Nguồn: opennet.ru