nginx 1.23.2的主分支已经发布,其中新功能的开发仍在继续,同时发布了nginx 1.22.1的并行支持稳定分支,其中仅包含与消除严重错误和漏洞。
新版本消除了 ngx_http_mp2022_module 模块中的两个漏洞(CVE-41741-2022、CVE-41742-4),该模块用于组织 H.264/AAC 格式文件的流。 在处理特制的 mp4 文件时,这些漏洞可能会导致内存损坏或内存泄漏。 结果提到了工作进程的紧急终止,但不排除其他表现形式,例如在服务器上组织代码执行。
值得注意的是,类似的漏洞已于 4 年在 ngx_http_mp2012_module 模块中修复。 此外,F5 报告了 NGINX Plus 产品中的类似漏洞(CVE-2022-41743),影响了 ngx_http_hls_module 模块,该模块提供对 HLS(Apple HTTP Live Streaming)协议的支持。
除了消除漏洞之外,nginx 1.23.2 中还提出了以下更改:
- 添加了对“$proxy_protocol_tlv_*”变量的支持,该变量包含出现在 Type-Length-Value PROXY v2 协议中的 TLV(Type-Length-Value)字段的值。
- 为 TLS 会话票证提供加密密钥的自动轮换,在 ssl_session_cache 指令中使用共享内存时使用。
- 与不正确的 SSL 记录类型相关的错误的日志记录级别已从严重级别降低到信息级别。
- 有关无法为新会话分配内存的消息的日志记录级别已从警报更改为警告,并且仅限于每秒输出一个条目。
- 在Windows平台上,已经建立了与OpenSSL 3.0的汇编。
- 改进了日志中 PROXY 协议错误的反映。
- 修复了使用基于 OpenSSL 或 BoringSSL 的 TLSv1.3 时“ssl_session_timeout”指令中指定的超时不起作用的问题。
来源: opennet.ru