Mercurial > hg > nginx-site

changeset 2898:0b7e004b5061

Find changesets by keywords (author, files, the commit message), revision number or hash, or revset expression.
nginx-1.23.2, nginx-1.22.1
author Maxim Dounin <mdounin@mdounin.ru>
date Wed, 19 Oct 2022 11:26:47 +0300
parents 3f5e91af4a52
children f961e8a01053
files text/en/CHANGES text/en/CHANGES-1.22 text/ru/CHANGES.ru text/ru/CHANGES.ru-1.22 xml/en/security_advisories.xml xml/index.xml xml/versions.xml
diffstat 7 files changed, 118 insertions(+), 0 deletions(-) [+]
line wrap: on
line diff
--- a/text/en/CHANGES	Tue Oct 18 11:56:15 2022 +0100
+++ b/text/en/CHANGES	Wed Oct 19 11:26:47 2022 +0300
@@ -1,4 +1,39 @@
 
+Changes with nginx 1.23.2                                        19 Oct 2022
+
+    *) Security: processing of a specially crafted mp4 file by the
+       ngx_http_mp4_module might cause a worker process crash, worker
+       process memory disclosure, or might have potential other impact
+       (CVE-2022-41741, CVE-2022-41742).
+
+    *) Feature: the "$proxy_protocol_tlv_..." variables.
+
+    *) Feature: TLS session tickets encryption keys are now automatically
+       rotated when using shared memory in the "ssl_session_cache"
+       directive.
+
+    *) Change: the logging level of the "bad record type" SSL errors has
+       been lowered from "crit" to "info".
+       Thanks to Murilo Andrade.
+
+    *) Change: now when using shared memory in the "ssl_session_cache"
+       directive the "could not allocate new session" errors are logged at
+       the "warn" level instead of "alert" and not more often than once per
+       second.
+
+    *) Bugfix: nginx/Windows could not be built with OpenSSL 3.0.x.
+
+    *) Bugfix: in logging of the PROXY protocol errors.
+       Thanks to Sergey Brester.
+
+    *) Workaround: shared memory from the "ssl_session_cache" directive was
+       spent on sessions using TLS session tickets when using TLSv1.3 with
+       OpenSSL.
+
+    *) Workaround: timeout specified with the "ssl_session_timeout"
+       directive did not work when using TLSv1.3 with OpenSSL or BoringSSL.
+
+
 Changes with nginx 1.23.1                                        19 Jul 2022
 
     *) Feature: memory usage optimization in configurations with SSL
--- a/text/en/CHANGES-1.22	Tue Oct 18 11:56:15 2022 +0100
+++ b/text/en/CHANGES-1.22	Wed Oct 19 11:26:47 2022 +0300
@@ -1,4 +1,12 @@
 
+Changes with nginx 1.22.1                                        19 Oct 2022
+
+    *) Security: processing of a specially crafted mp4 file by the
+       ngx_http_mp4_module might cause a worker process crash, worker
+       process memory disclosure, or might have potential other impact
+       (CVE-2022-41741, CVE-2022-41742).
+
+
 Changes with nginx 1.22.0                                        24 May 2022
 
     *) 1.22.x stable branch.
--- a/text/ru/CHANGES.ru	Tue Oct 18 11:56:15 2022 +0100
+++ b/text/ru/CHANGES.ru	Wed Oct 19 11:26:47 2022 +0300
@@ -1,4 +1,39 @@
 
+Изменения в nginx 1.23.2                                          19.10.2022
+
+    *) Безопасность: обработка специально созданного mp4-файла модулем
+       ngx_http_mp4_module могла приводить к падению рабочего процесса,
+       отправке клиенту части содержимого памяти рабочего процесса, а также
+       потенциально могла иметь другие последствия (CVE-2022-41741,
+       CVE-2022-41742).
+
+    *) Добавление: переменные "$proxy_protocol_tlv_...".
+
+    *) Добавление: ключи шифрования TLS session tickets теперь автоматически
+       меняются при использовании разделяемой памяти в ssl_session_cache.
+
+    *) Изменение: уровень логгирования ошибок SSL "bad record type" понижен
+       с уровня crit до info.
+       Спасибо Murilo Andrade.
+
+    *) Изменение: теперь при использовании разделяемой памяти в
+       ssl_session_cache сообщения "could not allocate new session"
+       логгируются на уровне warn вместо alert и не чаще одного раза в
+       секунду.
+
+    *) Исправление: nginx/Windows не собирался с OpenSSL 3.0.x.
+
+    *) Исправление: в логгировании ошибок протокола PROXY.
+       Спасибо Сергею Брестеру.
+
+    *) Изменение: при использовании TLSv1.3 с OpenSSL разделяемая память из
+       ssl_session_cache расходовалась в том числе на сессии, использующие
+       TLS session tickets.
+
+    *) Изменение: таймаут, заданный с помощью директивы ssl_session_timeout,
+       не работал при использовании TLSv1.3 с OpenSSL или BoringSSL.
+
+
 Изменения в nginx 1.23.1                                          19.07.2022
 
     *) Добавление: оптимизация использования памяти в конфигурациях с
--- a/text/ru/CHANGES.ru-1.22	Tue Oct 18 11:56:15 2022 +0100
+++ b/text/ru/CHANGES.ru-1.22	Wed Oct 19 11:26:47 2022 +0300
@@ -1,4 +1,13 @@
 
+Изменения в nginx 1.22.1                                          19.10.2022
+
+    *) Безопасность: обработка специально созданного mp4-файла модулем
+       ngx_http_mp4_module могла приводить к падению рабочего процесса,
+       отправке клиенту части содержимого памяти рабочего процесса, а также
+       потенциально могла иметь другие последствия (CVE-2022-41741,
+       CVE-2022-41742).
+
+
 Изменения в nginx 1.22.0                                          24.05.2022
 
     *) Стабильная ветка 1.22.x.
--- a/xml/en/security_advisories.xml	Tue Oct 18 11:56:15 2022 +0100
+++ b/xml/en/security_advisories.xml	Wed Oct 19 11:26:47 2022 +0300
@@ -24,6 +24,22 @@
 
 <security>
 
+<item name="Memory corruption in the ngx_http_mp4_module"
+      severity="medium"
+      cve="2022-41741"
+      good="1.23.2+, 1.22.1+"
+      vulnerable="1.1.3-1.23.1, 1.0.7-1.0.15">
+<patch name="patch.2022.mp4.txt" />
+</item>
+
+<item name="Memory disclosure in the ngx_http_mp4_module"
+      severity="medium"
+      cve="2022-41742"
+      good="1.23.2+, 1.22.1+"
+      vulnerable="1.1.3-1.23.1, 1.0.7-1.0.15">
+<patch name="patch.2022.mp4.txt" />
+</item>
+
 <item name="1-byte memory overwrite in resolver"
       severity="medium"
       advisory="http://mailman.nginx.org/pipermail/nginx-announce/2021/000300.html"
--- a/xml/index.xml	Tue Oct 18 11:56:15 2022 +0100
+++ b/xml/index.xml	Wed Oct 19 11:26:47 2022 +0300
@@ -7,6 +7,19 @@
 
 <news name="nginx news" link="/" lang="en">
 
+<event date="2022-10-19">
+<para>
+<link doc="en/download.xml">nginx-1.22.1</link>
+stable and
+<link doc="en/download.xml">nginx-1.23.2</link>
+mainline versions have been released,
+with a fix for the
+<link doc="en/security_advisories.xml">memory corruption and
+memory disclosure</link>
+vulnerabilities in the ngx_http_mp4_module (CVE-2022-41741, CVE-2022-41742).
+</para>
+</event>
+
 <event date="2022-09-13">
 <para>
 <link url="https://unit.nginx.org/">unit-1.28.0</link> version has been
--- a/xml/versions.xml	Tue Oct 18 11:56:15 2022 +0100
+++ b/xml/versions.xml	Wed Oct 19 11:26:47 2022 +0300
@@ -9,6 +9,7 @@
 
 <download tag="mainline" changes="">
 
+<item ver="1.23.2" />
 <item ver="1.23.1" />
 <item ver="1.23.0" />
 
@@ -17,6 +18,7 @@
 
 <download tag="stable" changes="1.22">
 
+<item ver="1.22.1" />
 <item ver="1.22.0" />
 <item ver="1.21.6" />
 <item ver="1.21.5" />