Ẹka akọkọ ti nginx 1.23.2 ti tu silẹ, laarin eyiti idagbasoke ti awọn ẹya tuntun tẹsiwaju, ati itusilẹ ti ẹka iduroṣinṣin ti o jọra ti nginx 1.22.1, eyiti o pẹlu awọn ayipada nikan ti o ni ibatan si imukuro awọn aṣiṣe to ṣe pataki ati ailagbara.
Awọn ẹya tuntun yọkuro awọn ailagbara meji (CVE-2022-41741, CVE-2022-41742) ninu module ngx_http_mp4_module, ti a lo lati ṣeto ṣiṣanwọle lati awọn faili ni ọna kika H.264/AAC. Awọn ailagbara naa le ja si ibajẹ iranti tabi jijo iranti nigbati o nṣiṣẹ faili mp4 ti a ṣe ni pataki. Ifopinsi pajawiri ti ilana iṣẹ ni a mẹnuba bi abajade, ṣugbọn awọn ifihan miiran ko yọkuro, gẹgẹbi iṣeto ti ipaniyan koodu lori olupin naa.
O jẹ akiyesi pe ailagbara ti o jọra tẹlẹ ti wa titi ninu module ngx_http_mp4_module ni ọdun 2012. Ni afikun, F5 royin iru ipalara kan (CVE-2022-41743) ninu ọja NGINX Plus, ti o kan ngx_http_hls_module module, eyiti o pese atilẹyin fun ilana HLS (Apple HTTP Live Streaming).
Ni afikun si imukuro awọn ailagbara, awọn ayipada atẹle ni a dabaa ni nginx 1.23.2:
- Atilẹyin ti a ṣafikun fun awọn oniyipada “$proxy_protocol_tlv_*”, eyiti o ni awọn iye ti awọn aaye TLV (Iru-Iye-iye) ninu ti o han ninu Ilana Iru-Iye-iye PROXY v2.
- Ti pese yiyi laifọwọyi ti awọn bọtini fifi ẹnọ kọ nkan fun awọn tikẹti igba TLS, ti a lo nigba lilo iranti pinpin ni itọsọna ssl_session_cache.
- Ipele gedu fun awọn aṣiṣe ti o nii ṣe pẹlu awọn iru igbasilẹ SSL ti ko tọ ni a ti sọ silẹ lati pataki si ipele alaye.
- Ipele gedu fun awọn ifiranṣẹ nipa ailagbara lati pin iranti fun igba titun ti yipada lati gbigbọn lati kilọ ati pe o ni opin si jijade titẹ sii kan fun iṣẹju-aaya.
- Lori Syeed Windows, apejọ pẹlu OpenSSL 3.0 ti fi idi mulẹ.
- Imudara ilọsiwaju ti awọn aṣiṣe ilana Ilana PROXY ninu akọọlẹ naa.
- Ọrọ ti o wa titi nibiti akoko ipari ti a sọ pato ninu itọsọna “ssl_session_timeout” ko ṣiṣẹ nigba lilo TLSv1.3 ti o da lori OpenSSL tabi BoringSSL.
orisun: opennet.ru