The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В nginx 1.25.4 и Angie 1.4.1 устранены уязвимости, связанные с HTTP/3

14.02.2024 22:11

Сформирован выпуск основной ветки nginx 1.25.4, в рамках которой продолжается развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.24.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.25.x будет сформирована стабильная ветка 1.26. Код проекта написан на языке Си и распространяется под лицензией BSD.

В новой версии устранены две уязвимости в экспериментальном модуле http_v3_module (отключён по умолчанию), обеспечивающем поддержку протокола HTTP/3, использующего протокол QUIC в качестве транспорта для HTTP/2. Первая уязвимость (CVE-2024-24989) вызвана разыменованием нулевого указателя, а вторая (CVE-2024-24990) обращением к памяти после её освобождения. В списке изменений утверждается, что обе уязвимости могут привести лишь к аварийному завершению рабочего процесса при обработке специально оформленных сеансов QUIC, но для второй уязвимости судя по всему анализ более серьёзных последствий не проводился.

Помимо устранения уязвимостей в новой версии также внесены общие улучшения и исправления в реализацию HTTP/3, а также устранены ошибки, связанные с утечкой сокетов, ошибками сокетов или аварийным завершением при использовании AIO. Решена проблема с преждевременным закрытием соединений с незавершенными AIO-операциями во время мягкого завершения старых рабочих процессов. Устранено аварийное завершение при перенаправлении ошибок с кодом 415 при помощи директивы error_page, в случае использования SSL-проксирования и директивы image_filter.

Кроме того, несколько дней назад состоялся выпуск njs 0.8.3, интерпретатора языка JavaScript для веб-сервера nginx. Интерпретатор njs реализует стандарты ECMAScript и позволяет расширять возможности nginx по обработке запросов с помощью скриптов в конфигурации. Скрипты могут использоваться в файле конфигурации для определения расширенной логики обработки запросов, формирования конфигурации, динамической генерации ответа, модификации запроса/ответа или быстрого создания заглушек с решением проблем в web-приложениях. В новой версии отмечено только исправление ошибок.

Дополнение: Опубликован релиз Angie 1.4.1, отечественного форка Nginx, в котором устранена уязвимость CVE-2024-24989 в реализации протокола QUIC, связанная с разыменованием нулевого указателя. Поддержка HTTP/3 для клиентских соединений заявлена в Angie, начиная с версии 1.2.0. Вторая уязвимость, CVE-2024-24990, вызванная обращением к памяти после её освобождения, не затрагивает ветку Angie 1.4.0, но присутствует в выпусках 1.2.x и 1.3.x.

  1. Главная ссылка к новости (https://www.nginx.com/blog/upd...)
  2. OpenNews: Выпуск Angie 1.4.0, российского форка Nginx
  3. OpenNews: Уязвимости в ingress-nginx, позволяющие скомпрометировать кластеры Kubernetes
  4. OpenNews: Выпуск nginx 1.25.3, njs 0.8.2 и NGINX Unit 1.31.1
  5. OpenNews: Проект NGINX опубликовал инструментарий для разработки модулей на языке Rust
  6. OpenNews: Выпуск nginx 1.24.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60601-nginx
Ключевые слова: nginx
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:21, 14/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –8 +/
    Вообще нгинкс не такой уж и большой, и они вполне могли бы переписать его на раст, чтобы такой фигни не было.

    Звучит как шутка, но по-моему адекватное предложение.

     
     
  • 2.2, Аноним (2), 22:26, 14/02/2024 [^] [^^] [^^^] [ответить]  
    		• +9 +/
    Вообще мог бы сам переписать, чтобы не писать тут фигню, нгинкс не такой уж и большой
     
     
  • 3.3, Аноним (1), 22:30, 14/02/2024 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    так они же нгинкс не за бесплатно пишут - все на доле ф5, поэтому им и переписывать, я только идею предложил

    а бесплатно точно никто ничего на раст не перепишет

     
  • 3.4, Аноним (1), 22:33, 14/02/2024 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    https://mailman.nginx.org/pipermail/nginx-devel/2024-February/K5IC6VYO2PB7N4HR

    вот кстати, дунин уволилися из ф5 буквально несколько часов назад - может он теперь перепишет

    freenginx.org

     
     
  • 4.6, Аноним (6), 23:12, 14/02/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Интересно, с Бартеневым и его Angie они дружить будут или драться?
     
     
  • 5.12, C00l_ni66a (ok), 23:34, 14/02/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    А свою критику они высказывают исключительно телепатическим путём, по твоему?
     
  • 4.14, Аноним (-), 23:44, 14/02/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    > вот кстати, дунин уволилися из ф5 буквально несколько часов назад - может
    > он теперь перепишет

    Пикантный нюанс в том что согласно чуваку из F5 Дунин был против назначения CVE нжинксу, а F5 считали что лучше перестрахуются. Во всяком случае так сказал их реп на ycombinator 8)

     
  • 4.18, Аноним (-), 00:52, 15/02/2024 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > может он теперь перепишет

    Получается они раньше командой бракоделили, а сейчас он в одно рыло возьмет и сделает хорошо? Так?
    Что ж он раньше-то себя сдерживал! Столько лет профукали зря!

     
  • 2.7, Ivan_83 (ok), 23:18, 14/02/2024 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Ваше предложение только уменьшает ценность nginx.
    Кроме того там 100500 дополнений которым нужно чтобы API/ABI не поменялось.
     
     
  • 3.13, Аноним (6), 23:36, 14/02/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    API сохранить можно.
    ABI идет лесом, потому что левые модули все равно под конкретный nginx собираются.
     
  • 2.9, Tron is Whistling (?), 23:28, 14/02/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Вообще нгинх уже пару лет как пора переписать на раст (синоним подберите сами).
     
  • 2.16, Аноним (16), 00:38, 15/02/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Можно не пользоваться nginx для отдачи файликов по HTTP.
     
     
  • 3.19, Sw00p aka Jerom (?), 08:35, 15/02/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    не надо забывать, что он имеено для этого и создавался.
     
  • 2.25, Аноним (25), 13:37, 15/02/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    ну так займись, кого ждёшь?
     

  • 1.5, Вы забыли заполнить поле Name (?), 22:38, 14/02/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• –1 +/
     
  • 1.11, Аноним (11), 23:32, 14/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    а между тем, из-за этих cve один из разработчиков решил форкнуть nginx https://news.ycombinator.com/item?id=39374312
     
  • 1.15, Аноним (-), 23:45, 14/02/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• –1 +/
     
  • 1.17, Шарп (ok), 00:47, 15/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    >а вторая (CVE-2024-24990) обращением к памяти после её освобождения

    Мне Анон только позавчера объяснял, что "Просто не обращайся к чужой памяти" https://www.opennet.ru/openforum/vsluhforumID3/132821.html#39 Но сишники почему-то не слушают Анона. А ведь достаточно воспользоваться этим простым советом и больше не будет никаких уязвимостей. Победа так близка. Эх...

     
     
  • 2.20, Другой Анон (?), 08:47, 15/02/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну дак все правильно ведь объяснил.
     

  • 1.24, Аноним (-), 12:51, 15/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Отличная реклама нового free-nginx)
    F5 может просто писать в рекламных буклетах: "свободный nginx – это как у нас, только с CVE в мейнлайн ветки".
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру