From mdounin на mdounin.ru Wed Oct 19 12:11:04 2022 From: mdounin на mdounin.ru (Maxim Dounin) Date: Wed, 19 Oct 2022 15:11:04 +0300 Subject: =?utf-8?q?=5Bnginx-ru-announce=5D_nginx-1=2E22=2E1?= Message-ID: Изменения в nginx 1.22.1 19.10.2022 *) Безопасность: обработка специально созданного mp4-файла модулем ngx_http_mp4_module могла приводить к падению рабочего процесса, отправке клиенту части содержимого памяти рабочего процесса, а также потенциально могла иметь другие последствия (CVE-2022-41741, CVE-2022-41742). -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Wed Oct 19 12:11:42 2022 From: mdounin на mdounin.ru (Maxim Dounin) Date: Wed, 19 Oct 2022 15:11:42 +0300 Subject: =?utf-8?q?=5Bnginx-ru-announce=5D_nginx_security_advisory_=28CVE-2022-41741=2C_CVE-2022-41742=29?= Message-ID: Hello! В модуле ngx_http_mp4_module были обнаружены две проблемы, которые позволяют с помощью специально созданного mp4-файла вызвать падение рабочего процесса, отправку клиенту части содержимого памяти рабочего процесса, а также потенциально могут иметь другие последствия (CVE-2022-41741, CVE-2022-41742). Проблемам подвержен nginx, если он собран с модулем ngx_http_mp4_module (по умолчанию не собирается) и директива mp4 используется в конфигурационном файле. При этом атака возможна только в случае, если атакующий имеет возможность обеспечить обработку специально созданного mp4-файла с помощью модуля ngx_http_mp4_module. Проблемам подвержен nginx 1.1.3+, 1.0.7+. Проблемы исправлены в 1.23.2, 1.22.1. Патч, исправляющий проблемы, доступен тут: http://nginx.org/download/patch.2022.mp4.txt -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Tue May 24 15:05:47 2022 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 24 May 2022 18:05:47 +0300 Subject: =?utf-8?q?=5Bnginx-ru-announce=5D_nginx-1=2E22=2E0?= Message-ID: Изменения в nginx 1.22.0 24.05.2022 *) Стабильная ветка 1.22.x. -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Tue Jan 25 15:24:10 2022 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 25 Jan 2022 18:24:10 +0300 Subject: =?utf-8?q?=5Bnginx-ru-announce=5D_nginx-1=2E21=2E6?= Message-ID: Изменения в nginx 1.21.6 25.01.2022 *) Исправление: при использование EPOLLEXCLUSIVE на Linux распределение клиентских соединений между рабочими процессами было неравномерным. *) Исправление: во время плавного завершения старых рабочих процессов nginx возвращал в ответах строку заголовка "Connection: keep-alive". *) Исправление: в директиве ssl_session_ticket_key при использовании TLSv1.3. -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Tue Jun 21 17:03:26 2022 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 21 Jun 2022 20:03:26 +0300 Subject: =?utf-8?q?=5Bnginx-ru-announce=5D_nginx-1=2E23=2E0?= Message-ID: Изменения в nginx 1.23.0 21.06.2022 *) Изменение во внутреннем API: теперь строки заголовков представлены связными списками. *) Изменение: теперь nginx объединяет произвольные строки заголовков с одинаковыми именами при отправке на FastCGI-, SCGI- и uwsgi-бэкенды, в методе $r->header_in() модуля ngx_http_perl_module, и при доступе через переменные "$http_...", "$sent_http_...", "$sent_trailer_...", "$upstream_http_..." и "$upstream_trailer_...". *) Исправление: если в заголовке ответа бэкенда было несколько строк "Vary", при кэшировании nginx учитывал только последнюю из них. *) Исправление: если в заголовке ответа бэкенда было несколько строк "WWW-Authenticate" и использовался перехват ошибок с кодом 401 от бэкенда или директива auth_request, nginx пересылал клиенту только первую из этих строк. *) Изменение: уровень логгирования ошибок SSL "application data after close notify" понижен с уровня crit до info. *) Исправление: соединения могли зависать, если nginx был собран на Linux 2.6.17 и новее, а использовался на системах без поддержки EPOLLRDHUP, в частности, на системах с эмуляцией epoll; ошибка появилась в 1.17.5. Спасибо Marcus Ball. *) Исправление: nginx не кэшировал ответ, если строка заголовка ответа "Expires" запрещала кэширование, а последующая строка заголовка "Cache-Control" разрешала кэширование. -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Tue Jul 19 15:06:55 2022 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 19 Jul 2022 18:06:55 +0300 Subject: =?utf-8?q?=5Bnginx-ru-announce=5D_nginx-1=2E23=2E1?= Message-ID: Изменения в nginx 1.23.1 19.07.2022 *) Добавление: оптимизация использования памяти в конфигурациях с SSL-проксированием. *) Добавление: теперь с помощью параметра "ipv4=off" директивы "resolver" можно запретить поиск IPv4-адресов при преобразовании имён в адреса. *) Изменение: уровень логгирования ошибок SSL "bad key share", "bad extension", "bad cipher" и "bad ecpoint" понижен с уровня crit до info. *) Исправление: при возврате диапазонов nginx не удалял строку заголовка "Content-Range", если она присутствовала в исходном ответе бэкенда. *) Исправление: проксированный ответ мог быть отправлен не полностью при переконфигурации на Linux; ошибка появилась в 1.17.5. -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Wed Oct 19 12:10:35 2022 From: mdounin на mdounin.ru (Maxim Dounin) Date: Wed, 19 Oct 2022 15:10:35 +0300 Subject: =?utf-8?q?=5Bnginx-ru-announce=5D_nginx-1=2E23=2E2?= Message-ID: Изменения в nginx 1.23.2 19.10.2022 *) Безопасность: обработка специально созданного mp4-файла модулем ngx_http_mp4_module могла приводить к падению рабочего процесса, отправке клиенту части содержимого памяти рабочего процесса, а также потенциально могла иметь другие последствия (CVE-2022-41741, CVE-2022-41742). *) Добавление: переменные "$proxy_protocol_tlv_...". *) Добавление: ключи шифрования TLS session tickets теперь автоматически меняются при использовании разделяемой памяти в ssl_session_cache. *) Изменение: уровень логгирования ошибок SSL "bad record type" понижен с уровня crit до info. Спасибо Murilo Andrade. *) Изменение: теперь при использовании разделяемой памяти в ssl_session_cache сообщения "could not allocate new session" логгируются на уровне warn вместо alert и не чаще одного раза в секунду. *) Исправление: nginx/Windows не собирался с OpenSSL 3.0.x. *) Исправление: в логгировании ошибок протокола PROXY. Спасибо Сергею Брестеру. *) Изменение: при использовании TLSv1.3 с OpenSSL разделяемая память из ssl_session_cache расходовалась в том числе на сессии, использующие TLS session tickets. *) Изменение: таймаут, заданный с помощью директивы ssl_session_timeout, не работал при использовании TLSv1.3 с OpenSSL или BoringSSL. -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Tue Jan 25 15:24:10 2022 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 25 Jan 2022 18:24:10 +0300 Subject: =?utf-8?q?=5Bnginx-ru-announce=5D_nginx-1=2E21=2E6?= Message-ID: Изменения в nginx 1.21.6 25.01.2022 *) Исправление: при использование EPOLLEXCLUSIVE на Linux распределение клиентских соединений между рабочими процессами было неравномерным. *) Исправление: во время плавного завершения старых рабочих процессов nginx возвращал в ответах строку заголовка "Connection: keep-alive". *) Исправление: в директиве ssl_session_ticket_key при использовании TLSv1.3. -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Tue May 24 15:05:47 2022 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 24 May 2022 18:05:47 +0300 Subject: =?utf-8?q?=5Bnginx-ru-announce=5D_nginx-1=2E22=2E0?= Message-ID: Изменения в nginx 1.22.0 24.05.2022 *) Стабильная ветка 1.22.x. -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Tue Jun 21 17:03:26 2022 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 21 Jun 2022 20:03:26 +0300 Subject: =?utf-8?q?=5Bnginx-ru-announce=5D_nginx-1=2E23=2E0?= Message-ID: Изменения в nginx 1.23.0 21.06.2022 *) Изменение во внутреннем API: теперь строки заголовков представлены связными списками. *) Изменение: теперь nginx объединяет произвольные строки заголовков с одинаковыми именами при отправке на FastCGI-, SCGI- и uwsgi-бэкенды, в методе $r->header_in() модуля ngx_http_perl_module, и при доступе через переменные "$http_...", "$sent_http_...", "$sent_trailer_...", "$upstream_http_..." и "$upstream_trailer_...". *) Исправление: если в заголовке ответа бэкенда было несколько строк "Vary", при кэшировании nginx учитывал только последнюю из них. *) Исправление: если в заголовке ответа бэкенда было несколько строк "WWW-Authenticate" и использовался перехват ошибок с кодом 401 от бэкенда или директива auth_request, nginx пересылал клиенту только первую из этих строк. *) Изменение: уровень логгирования ошибок SSL "application data after close notify" понижен с уровня crit до info. *) Исправление: соединения могли зависать, если nginx был собран на Linux 2.6.17 и новее, а использовался на системах без поддержки EPOLLRDHUP, в частности, на системах с эмуляцией epoll; ошибка появилась в 1.17.5. Спасибо Marcus Ball. *) Исправление: nginx не кэшировал ответ, если строка заголовка ответа "Expires" запрещала кэширование, а последующая строка заголовка "Cache-Control" разрешала кэширование. -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Tue Jul 19 15:06:55 2022 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 19 Jul 2022 18:06:55 +0300 Subject: =?utf-8?q?=5Bnginx-ru-announce=5D_nginx-1=2E23=2E1?= Message-ID: Изменения в nginx 1.23.1 19.07.2022 *) Добавление: оптимизация использования памяти в конфигурациях с SSL-проксированием. *) Добавление: теперь с помощью параметра "ipv4=off" директивы "resolver" можно запретить поиск IPv4-адресов при преобразовании имён в адреса. *) Изменение: уровень логгирования ошибок SSL "bad key share", "bad extension", "bad cipher" и "bad ecpoint" понижен с уровня crit до info. *) Исправление: при возврате диапазонов nginx не удалял строку заголовка "Content-Range", если она присутствовала в исходном ответе бэкенда. *) Исправление: проксированный ответ мог быть отправлен не полностью при переконфигурации на Linux; ошибка появилась в 1.17.5. -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Wed Oct 19 12:10:35 2022 From: mdounin на mdounin.ru (Maxim Dounin) Date: Wed, 19 Oct 2022 15:10:35 +0300 Subject: =?utf-8?q?=5Bnginx-ru-announce=5D_nginx-1=2E23=2E2?= Message-ID: Изменения в nginx 1.23.2 19.10.2022 *) Безопасность: обработка специально созданного mp4-файла модулем ngx_http_mp4_module могла приводить к падению рабочего процесса, отправке клиенту части содержимого памяти рабочего процесса, а также потенциально могла иметь другие последствия (CVE-2022-41741, CVE-2022-41742). *) Добавление: переменные "$proxy_protocol_tlv_...". *) Добавление: ключи шифрования TLS session tickets теперь автоматически меняются при использовании разделяемой памяти в ssl_session_cache. *) Изменение: уровень логгирования ошибок SSL "bad record type" понижен с уровня crit до info. Спасибо Murilo Andrade. *) Изменение: теперь при использовании разделяемой памяти в ssl_session_cache сообщения "could not allocate new session" логгируются на уровне warn вместо alert и не чаще одного раза в секунду. *) Исправление: nginx/Windows не собирался с OpenSSL 3.0.x. *) Исправление: в логгировании ошибок протокола PROXY. Спасибо Сергею Брестеру. *) Изменение: при использовании TLSv1.3 с OpenSSL разделяемая память из ssl_session_cache расходовалась в том числе на сессии, использующие TLS session tickets. *) Изменение: таймаут, заданный с помощью директивы ssl_session_timeout, не работал при использовании TLSv1.3 с OpenSSL или BoringSSL. -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Wed Oct 19 12:11:04 2022 From: mdounin на mdounin.ru (Maxim Dounin) Date: Wed, 19 Oct 2022 15:11:04 +0300 Subject: =?utf-8?q?=5Bnginx-ru-announce=5D_nginx-1=2E22=2E1?= Message-ID: Изменения в nginx 1.22.1 19.10.2022 *) Безопасность: обработка специально созданного mp4-файла модулем ngx_http_mp4_module могла приводить к падению рабочего процесса, отправке клиенту части содержимого памяти рабочего процесса, а также потенциально могла иметь другие последствия (CVE-2022-41741, CVE-2022-41742). -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Wed Oct 19 12:11:42 2022 From: mdounin на mdounin.ru (Maxim Dounin) Date: Wed, 19 Oct 2022 15:11:42 +0300 Subject: =?utf-8?q?=5Bnginx-ru-announce=5D_nginx_security_advisory_=28CVE-2022-41741=2C_CVE-2022-41742=29?= Message-ID: Hello! В модуле ngx_http_mp4_module были обнаружены две проблемы, которые позволяют с помощью специально созданного mp4-файла вызвать падение рабочего процесса, отправку клиенту части содержимого памяти рабочего процесса, а также потенциально могут иметь другие последствия (CVE-2022-41741, CVE-2022-41742). Проблемам подвержен nginx, если он собран с модулем ngx_http_mp4_module (по умолчанию не собирается) и директива mp4 используется в конфигурационном файле. При этом атака возможна только в случае, если атакующий имеет возможность обеспечить обработку специально созданного mp4-файла с помощью модуля ngx_http_mp4_module. Проблемам подвержен nginx 1.1.3+, 1.0.7+. Проблемы исправлены в 1.23.2, 1.22.1. Патч, исправляющий проблемы, доступен тут: http://nginx.org/download/patch.2022.mp4.txt -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Tue Dec 13 17:15:01 2022 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 13 Dec 2022 20:15:01 +0300 Subject: [nginx-ru-announce] nginx-1.23.3 Message-ID: Изменения в nginx 1.23.3 13.12.2022 *) Исправление: при чтении заголовка протокола PROXY версии 2, содержащего большое количество TLV, могла возникать ошибка. *) Исправление: при использовании SSI для обработки подзапросов, созданных другими модулями, в рабочем процессе мог произойти segmentation fault. Спасибо Ciel Zhao. *) Изменение: теперь, если при преобразовании в адреса имени хоста, указанного в директиве listen, возвращается несколько адресов, nginx игнорирует дубликаты среди этих адресов. *) Исправление: nginx мог нагружать процессор при небуферизированном проксировании, если использовались SSL-соединения с бэкендами. -- Maxim Dounin http://nginx.org/