nginx 发布了两个新版本,分别是 stable 分支的 1.22.1 和 mainline 分支的 1.23.2,更新内容主要是修复安全问题。
nginx 1.22.1
- 安全修复:使用 ngx_http_mp4_module 模块处理特制的 mp4 文件时,可能会导致 worker 进程崩溃、worker 进程内存泄漏和损坏,也可能产生潜在的其他影响 (CVE-2022-41741, CVE-2022-41742)
nginx 1.23.2
- 安全修复:使用 ngx_http_mp4_module 模块处理特制的 mp4 文件时,可能会导致 worker 进程崩溃、worker 进程内存泄漏和损坏,也可能产生潜在的其他影响 (CVE-2022-41741, CVE-2022-41742)
- 新特性:引入"$proxy_protocol_tlv_..."变量
- 新特性:当在"ssl_session_cache"指令中使用共享内存时,TLS 会话凭据加密密钥会自动切换
- 变化:"bad record type" SSL 错误的日志级别从"crit"降低到"info"
- 变化:当在"ssl_session_cache"指令中使用共享内存时,“无法分配新会话”的错误被记录在"warn"级别,而不是此前的"alert",并且不超过每秒钟一次。
- Bugfix:修复 nginx/Windows 无法使用 OpenSSL 3.0.x 构建的问题
- Bugfix:修复 PROXY 协议的日志错误
- Workaround:当使用搭载 OpenSSL 的 TLSv1.3 时,来自"ssl_session_cache"指令的共享内存被用在使用 TLS 会话凭据的会话上
- Workaround:当使用搭载 OpenSSL 或 BoringSSL 的 TLSv1.3 时,使用"ssl_session_timeout"指令指定的超时不起作用
下载地址