# HG changeset patch # User Maxim Dounin # Date 1666168007 -10800 # Node ID 0b7e004b5061f58b46bc24b050e784a67badcef7 # Parent 3f5e91af4a52c5b8bbc75c0ea31e3ceac0bebea8 nginx-1.23.2, nginx-1.22.1 diff -r 3f5e91af4a52 -r 0b7e004b5061 text/en/CHANGES --- a/text/en/CHANGES Tue Oct 18 11:56:15 2022 +0100 +++ b/text/en/CHANGES Wed Oct 19 11:26:47 2022 +0300 @@ -1,4 +1,39 @@ +Changes with nginx 1.23.2 19 Oct 2022 + + *) Security: processing of a specially crafted mp4 file by the + ngx_http_mp4_module might cause a worker process crash, worker + process memory disclosure, or might have potential other impact + (CVE-2022-41741, CVE-2022-41742). + + *) Feature: the "$proxy_protocol_tlv_..." variables. + + *) Feature: TLS session tickets encryption keys are now automatically + rotated when using shared memory in the "ssl_session_cache" + directive. + + *) Change: the logging level of the "bad record type" SSL errors has + been lowered from "crit" to "info". + Thanks to Murilo Andrade. + + *) Change: now when using shared memory in the "ssl_session_cache" + directive the "could not allocate new session" errors are logged at + the "warn" level instead of "alert" and not more often than once per + second. + + *) Bugfix: nginx/Windows could not be built with OpenSSL 3.0.x. + + *) Bugfix: in logging of the PROXY protocol errors. + Thanks to Sergey Brester. + + *) Workaround: shared memory from the "ssl_session_cache" directive was + spent on sessions using TLS session tickets when using TLSv1.3 with + OpenSSL. + + *) Workaround: timeout specified with the "ssl_session_timeout" + directive did not work when using TLSv1.3 with OpenSSL or BoringSSL. + + Changes with nginx 1.23.1 19 Jul 2022 *) Feature: memory usage optimization in configurations with SSL diff -r 3f5e91af4a52 -r 0b7e004b5061 text/en/CHANGES-1.22 --- a/text/en/CHANGES-1.22 Tue Oct 18 11:56:15 2022 +0100 +++ b/text/en/CHANGES-1.22 Wed Oct 19 11:26:47 2022 +0300 @@ -1,4 +1,12 @@ +Changes with nginx 1.22.1 19 Oct 2022 + + *) Security: processing of a specially crafted mp4 file by the + ngx_http_mp4_module might cause a worker process crash, worker + process memory disclosure, or might have potential other impact + (CVE-2022-41741, CVE-2022-41742). + + Changes with nginx 1.22.0 24 May 2022 *) 1.22.x stable branch. diff -r 3f5e91af4a52 -r 0b7e004b5061 text/ru/CHANGES.ru --- a/text/ru/CHANGES.ru Tue Oct 18 11:56:15 2022 +0100 +++ b/text/ru/CHANGES.ru Wed Oct 19 11:26:47 2022 +0300 @@ -1,4 +1,39 @@ +Изменения в nginx 1.23.2 19.10.2022 + + *) Безопасность: обработка специально созданного mp4-файла модулем + ngx_http_mp4_module могла приводить к падению рабочего процесса, + отправке клиенту части содержимого памяти рабочего процесса, а также + потенциально могла иметь другие последствия (CVE-2022-41741, + CVE-2022-41742). + + *) Добавление: переменные "$proxy_protocol_tlv_...". + + *) Добавление: ключи шифрования TLS session tickets теперь автоматически + меняются при использовании разделяемой памяти в ssl_session_cache. + + *) Изменение: уровень логгирования ошибок SSL "bad record type" понижен + с уровня crit до info. + Спасибо Murilo Andrade. + + *) Изменение: теперь при использовании разделяемой памяти в + ssl_session_cache сообщения "could not allocate new session" + логгируются на уровне warn вместо alert и не чаще одного раза в + секунду. + + *) Исправление: nginx/Windows не собирался с OpenSSL 3.0.x. + + *) Исправление: в логгировании ошибок протокола PROXY. + Спасибо Сергею Брестеру. + + *) Изменение: при использовании TLSv1.3 с OpenSSL разделяемая память из + ssl_session_cache расходовалась в том числе на сессии, использующие + TLS session tickets. + + *) Изменение: таймаут, заданный с помощью директивы ssl_session_timeout, + не работал при использовании TLSv1.3 с OpenSSL или BoringSSL. + + Изменения в nginx 1.23.1 19.07.2022 *) Добавление: оптимизация использования памяти в конфигурациях с diff -r 3f5e91af4a52 -r 0b7e004b5061 text/ru/CHANGES.ru-1.22 --- a/text/ru/CHANGES.ru-1.22 Tue Oct 18 11:56:15 2022 +0100 +++ b/text/ru/CHANGES.ru-1.22 Wed Oct 19 11:26:47 2022 +0300 @@ -1,4 +1,13 @@ +Изменения в nginx 1.22.1 19.10.2022 + + *) Безопасность: обработка специально созданного mp4-файла модулем + ngx_http_mp4_module могла приводить к падению рабочего процесса, + отправке клиенту части содержимого памяти рабочего процесса, а также + потенциально могла иметь другие последствия (CVE-2022-41741, + CVE-2022-41742). + + Изменения в nginx 1.22.0 24.05.2022 *) Стабильная ветка 1.22.x. diff -r 3f5e91af4a52 -r 0b7e004b5061 xml/en/security_advisories.xml --- a/xml/en/security_advisories.xml Tue Oct 18 11:56:15 2022 +0100 +++ b/xml/en/security_advisories.xml Wed Oct 19 11:26:47 2022 +0300 @@ -24,6 +24,22 @@ + + + + + + + + + + +nginx-1.22.1 +stable and +nginx-1.23.2 +mainline versions have been released, +with a fix for the +memory corruption and +memory disclosure +vulnerabilities in the ngx_http_mp4_module (CVE-2022-41741, CVE-2022-41742). + + + unit-1.28.0 version has been diff -r 3f5e91af4a52 -r 0b7e004b5061 xml/versions.xml --- a/xml/versions.xml Tue Oct 18 11:56:15 2022 +0100 +++ b/xml/versions.xml Wed Oct 19 11:26:47 2022 +0300 @@ -9,6 +9,7 @@ + @@ -17,6 +18,7 @@ +