The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление nginx 1.22.1 и 1.23.2 с устранением уязвимостей

19.10.2022 18:06

Сформирован выпуск основной ветки nginx 1.23.2, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.22.1, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей.

В новых версиях устранены две уязвимости (CVE-2022-41741, CVE-2022-41742) в модуле ngx_http_mp4_module, применяемом для организации потокового вещания из файлов в формате H.264/AAC. Уязвимости могут привести к повреждению памяти или утечке содержимого памяти при обработке специально оформленного файла в формате mp4. В качестве последствий упоминается аварийное завершение рабочего процесса, но не исключаются и иные проявления, такие как организация выполнения кода на сервере.

Примечательно, что похожая уязвимость уже устранялась в модуле ngx_http_mp4_module в 2012 году. Кроме того, компания F5 сообщила о похожей уязвимости (CVE-2022-41743) в продукте NGINX Plus, затрагивающей модуль ngx_http_hls_module, обеспечивающий поддержку протокола HLS (Apple HTTP Live Streaming).

Кроме устранения уязвимостей в nginx 1.23.2 предложены следующие изменения:

  • Добавлена поддержка переменных "$proxy_protocol_tlv_*", в которые записываются значения полей TLV (Type-Length-Value), фигурирующих в протоколе Type-Length-Value PROXY v2.
  • Обеспечена автоматическая ротация ключей шифрования для сессионных тикетов TLS, применяемая при использовании разделяемой памяти в директиве ssl_session_cache.
  • Уровень ведения лога для ошибок, связанных с некорректным типом записей SSL, понижен с критического до информационного уровня.
  • Уровень ведения лога для сообщений о невозможности выделить память для нового сеанса изменён с alert на warn и ограничен выводом одной записи в секунду.
  • На платформе Windows налажена сборка с OpenSSL 3.0.
  • Налажено отражение в логе ошибок протокола PROXY.
  • Устранена проблема, из-за которой при использовании TLSv1.3 на базе OpenSSL или BoringSSL не работал таймаут, указанный в директиве "ssl_session_timeout".


  1. Главная ссылка к новости (https://mailman.nginx.org/arch...)
  2. OpenNews: Root-уязвимость из-за некорректных настроек в пакете nginx для Debian и Ubuntu
  3. OpenNews: Cloudflare перешёл с NGINX на собственный прокcи Pingora, написанный на языке Rust
  4. OpenNews: Релиз nginx 1.23.0
  5. OpenNews: Вышел nginx 1.4.1 с устранением уязвимости, приводящей к удалённому выполнению кода
  6. OpenNews: Выпуски nginx 1.21.0 и 1.20.1 с устранением уязвимости
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57943-nginx
Ключевые слова: nginx
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (13) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 18:13, 19/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Но когда будет HTTPv3?
     
     
  • 2.12, Аноним (12), 22:49, 19/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    HTTP3 ≠ HTTP.
     

  • 1.3, minonA (?), 18:24, 19/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    отЧ там с QUIC и io_uring?
     
  • 1.10, th3m3 (ok), 19:59, 19/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Сейчас уже на rust, go - много всего запилили. Может есть чего интереснее nginx?
     
     
  • 2.11, амоним (?), 22:19, 19/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    смотря для каких целей. как гейтвей/балансировщик можно смотреть нескучный traefik.
    просто статику раздавать можно из обычного веб сервера на rust/go. всякие реврайты... пусть сдохнут вместе с php.
     
  • 2.13, Аноним42 (?), 00:05, 20/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если тебе нужно, что бы просто работало, то nginx не заменить
    Если тебе хочется поиграться с другими веб-серверами, то посмотри на Caddy, он забавный, сам сертификаты получает и обновляет, все дела
     
  • 2.18, Аноним (18), 17:40, 20/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если нужна простота настройки и дружишь с докером то конечно же https://github.com/umputun/reproxy
     

  • 1.14, Аноним (14), 03:42, 20/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    QUIC, HTTP/3 уже прямо яростно опаздывает.

    HTTP3 termination, в первую очередь, конечно.

     
  • 1.17, Аноним (18), 17:39, 20/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Как же хорошо что я убрал nginx из всех своих проектов.
     
     
  • 2.20, банановый экспресс (?), 19:53, 20/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чем заменили?
     

  • 1.19, minonA (?), 18:35, 20/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Nginx идёт по стопам Apache HTTP Server, обрастая всякими ненужностями, и игнорируя запросы современности. Уже надоело читать вопросы когда будет QUIC, HTTP/3, io_uring и Rust. Когда будут, уже будет никому не нужно, вот когда.
     
     
  • 2.21, Аноним (21), 23:53, 20/10/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Nginx идёт по стопам Apache HTTP Server, обрастая всякими ненужностями

    Все ненужности отключаются при билде. Так что не неси чушь.

     
  • 2.23, Michael Shigorin (ok), 13:48, 21/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > ...Rust. Когда будут, уже будет никому не нужно, вот когда.

    Вы сами ответили на свой вопрос.

    Теперь отойдите на пару шагов назад и окиньте его взглядом опять же сами.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру