nginx 1.21.0新主分支的第一個版本已經發布,其中新功能的開發將繼續。 同時,與支援的穩定分支 1.20.1 並行準備了修正版本,該版本僅引入與消除嚴重錯誤和漏洞相關的變更。 明年,基於主分支1.21.x,將形成穩定分支1.22。
新版本修復了 DNS 中解析主機名稱的程式碼中的漏洞 (CVE-2021-23017),該漏洞可能導致崩潰或可能執行攻擊者程式碼。 該問題表現在處理某些 DNS 伺服器回應時會導致一位元組緩衝區溢位。 只有在使用「resolver」指令在 DNS 解析器設定中啟用時,才會出現漏洞。 要實施攻擊,攻擊者必須能夠欺騙來自 DNS 伺服器的 UDP 封包或取得對 DNS 伺服器的控制。 該漏洞自nginx 0.6.18版本發布以來就出現了。 可以使用補丁來修復舊版本中的問題。
nginx 1.21.0 中的非安全性變更:
- 變數支援已新增至指令「proxy_ssl_certificate」、「proxy_ssl_certificate_key」、「grpc_ssl_certificate」、「grpc_ssl_certificate_key」、「uwsgi_ssl_certificate」和「uwsgi_ssl_certificate_sslkey」。
- 郵件代理模組增加了對“管道”的支持,用於在單一連接中發送多個 POP3 或 IMAP 請求,還添加了新指令“max_errors”,它定義了連接將關閉之前的最大協定錯誤數。
- 在串流模組中新增了「fastopen」參數,為偵聽套接字啟用「TCP Fast Open」模式。
- 在自動重定向期間透過在末尾添加斜線來轉義特殊字元的問題已解決。
- 使用 SMTP 管道時關閉與客戶端的連線的問題已解決。
來源: opennet.ru