nginx 1.23.2的主分支已經發布,其中新功能的開發仍在繼續,同時發布了nginx 1.22.1的並行支援穩定分支,其中僅包含與消除嚴重錯誤和漏洞。
新版本消除了 ngx_http_mp2022_module 模組中的兩個漏洞(CVE-41741-2022、CVE-41742-4),該模組用於組織 H.264/AAC 格式檔案的串流。 在處理特製的 mp4 檔案時,這些漏洞可能會導致記憶體損壞或記憶體洩漏。 結果提到了工作進程的緊急終止,但不排除其他表現形式,例如在伺服器上組織程式碼執行。
值得注意的是,類似的漏洞已於 4 年在 ngx_http_mp2012_module 模組中修復。 此外,F5 報告了 NGINX Plus 產品中的類似漏洞(CVE-2022-41743),影響了 ngx_http_hls_module 模組,該模組提供對 HLS(Apple HTTP Live Streaming)協定的支援。
除了消除漏洞之外,nginx 1.23.2 中還提出了以下變更:
- 新增了對「$proxy_protocol_tlv_*」變數的支持,該變數包含出現在 Type-Length-Value PROXY v2 協定中的 TLV(Type-Length-Value)欄位的值。
- 為 TLS 會話票證提供加密金鑰的自動輪換,在 ssl_session_cache 指令中使用共享記憶體時使用。
- 與不正確的 SSL 記錄類型相關的錯誤的日誌記錄等級已從嚴重程度降低到資訊等級。
- 有關無法為新會話分配記憶體的訊息的日誌記錄等級已從警報變更為警告,並且僅限於每秒輸出一個條目。
- 在Windows平台上,已經建立了與OpenSSL 3.0的彙編。
- 改進了日誌中 PROXY 協定錯誤的反映。
- 修正了使用基於 OpenSSL 或 BoringSSL 的 TLSv1.3 時「ssl_session_timeout」指令中指定的逾時不起作用的問題。
來源: opennet.ru