Mercurial > hg > nginx-site
changeset 2898:0b7e004b5061
nginx-1.23.2, nginx-1.22.1
author | Maxim Dounin <mdounin@mdounin.ru> |
---|---|
date | Wed, 19 Oct 2022 11:26:47 +0300 |
parents | 3f5e91af4a52 |
children | f961e8a01053 |
files | text/en/CHANGES text/en/CHANGES-1.22 text/ru/CHANGES.ru text/ru/CHANGES.ru-1.22 xml/en/security_advisories.xml xml/index.xml xml/versions.xml |
diffstat | 7 files changed, 118 insertions(+), 0 deletions(-) [+] |
line wrap: on
line diff
--- a/text/en/CHANGES Tue Oct 18 11:56:15 2022 +0100 +++ b/text/en/CHANGES Wed Oct 19 11:26:47 2022 +0300 @@ -1,4 +1,39 @@ +Changes with nginx 1.23.2 19 Oct 2022 + + *) Security: processing of a specially crafted mp4 file by the + ngx_http_mp4_module might cause a worker process crash, worker + process memory disclosure, or might have potential other impact + (CVE-2022-41741, CVE-2022-41742). + + *) Feature: the "$proxy_protocol_tlv_..." variables. + + *) Feature: TLS session tickets encryption keys are now automatically + rotated when using shared memory in the "ssl_session_cache" + directive. + + *) Change: the logging level of the "bad record type" SSL errors has + been lowered from "crit" to "info". + Thanks to Murilo Andrade. + + *) Change: now when using shared memory in the "ssl_session_cache" + directive the "could not allocate new session" errors are logged at + the "warn" level instead of "alert" and not more often than once per + second. + + *) Bugfix: nginx/Windows could not be built with OpenSSL 3.0.x. + + *) Bugfix: in logging of the PROXY protocol errors. + Thanks to Sergey Brester. + + *) Workaround: shared memory from the "ssl_session_cache" directive was + spent on sessions using TLS session tickets when using TLSv1.3 with + OpenSSL. + + *) Workaround: timeout specified with the "ssl_session_timeout" + directive did not work when using TLSv1.3 with OpenSSL or BoringSSL. + + Changes with nginx 1.23.1 19 Jul 2022 *) Feature: memory usage optimization in configurations with SSL
--- a/text/en/CHANGES-1.22 Tue Oct 18 11:56:15 2022 +0100 +++ b/text/en/CHANGES-1.22 Wed Oct 19 11:26:47 2022 +0300 @@ -1,4 +1,12 @@ +Changes with nginx 1.22.1 19 Oct 2022 + + *) Security: processing of a specially crafted mp4 file by the + ngx_http_mp4_module might cause a worker process crash, worker + process memory disclosure, or might have potential other impact + (CVE-2022-41741, CVE-2022-41742). + + Changes with nginx 1.22.0 24 May 2022 *) 1.22.x stable branch.
--- a/text/ru/CHANGES.ru Tue Oct 18 11:56:15 2022 +0100 +++ b/text/ru/CHANGES.ru Wed Oct 19 11:26:47 2022 +0300 @@ -1,4 +1,39 @@ +Изменения в nginx 1.23.2 19.10.2022 + + *) Безопасность: обработка специально созданного mp4-файла модулем + ngx_http_mp4_module могла приводить к падению рабочего процесса, + отправке клиенту части содержимого памяти рабочего процесса, а также + потенциально могла иметь другие последствия (CVE-2022-41741, + CVE-2022-41742). + + *) Добавление: переменные "$proxy_protocol_tlv_...". + + *) Добавление: ключи шифрования TLS session tickets теперь автоматически + меняются при использовании разделяемой памяти в ssl_session_cache. + + *) Изменение: уровень логгирования ошибок SSL "bad record type" понижен + с уровня crit до info. + Спасибо Murilo Andrade. + + *) Изменение: теперь при использовании разделяемой памяти в + ssl_session_cache сообщения "could not allocate new session" + логгируются на уровне warn вместо alert и не чаще одного раза в + секунду. + + *) Исправление: nginx/Windows не собирался с OpenSSL 3.0.x. + + *) Исправление: в логгировании ошибок протокола PROXY. + Спасибо Сергею Брестеру. + + *) Изменение: при использовании TLSv1.3 с OpenSSL разделяемая память из + ssl_session_cache расходовалась в том числе на сессии, использующие + TLS session tickets. + + *) Изменение: таймаут, заданный с помощью директивы ssl_session_timeout, + не работал при использовании TLSv1.3 с OpenSSL или BoringSSL. + + Изменения в nginx 1.23.1 19.07.2022 *) Добавление: оптимизация использования памяти в конфигурациях с
--- a/text/ru/CHANGES.ru-1.22 Tue Oct 18 11:56:15 2022 +0100 +++ b/text/ru/CHANGES.ru-1.22 Wed Oct 19 11:26:47 2022 +0300 @@ -1,4 +1,13 @@ +Изменения в nginx 1.22.1 19.10.2022 + + *) Безопасность: обработка специально созданного mp4-файла модулем + ngx_http_mp4_module могла приводить к падению рабочего процесса, + отправке клиенту части содержимого памяти рабочего процесса, а также + потенциально могла иметь другие последствия (CVE-2022-41741, + CVE-2022-41742). + + Изменения в nginx 1.22.0 24.05.2022 *) Стабильная ветка 1.22.x.
--- a/xml/en/security_advisories.xml Tue Oct 18 11:56:15 2022 +0100 +++ b/xml/en/security_advisories.xml Wed Oct 19 11:26:47 2022 +0300 @@ -24,6 +24,22 @@ <security> +<item name="Memory corruption in the ngx_http_mp4_module" + severity="medium" + cve="2022-41741" + good="1.23.2+, 1.22.1+" + vulnerable="1.1.3-1.23.1, 1.0.7-1.0.15"> +<patch name="patch.2022.mp4.txt" /> +</item> + +<item name="Memory disclosure in the ngx_http_mp4_module" + severity="medium" + cve="2022-41742" + good="1.23.2+, 1.22.1+" + vulnerable="1.1.3-1.23.1, 1.0.7-1.0.15"> +<patch name="patch.2022.mp4.txt" /> +</item> + <item name="1-byte memory overwrite in resolver" severity="medium" advisory="http://mailman.nginx.org/pipermail/nginx-announce/2021/000300.html"
--- a/xml/index.xml Tue Oct 18 11:56:15 2022 +0100 +++ b/xml/index.xml Wed Oct 19 11:26:47 2022 +0300 @@ -7,6 +7,19 @@ <news name="nginx news" link="/" lang="en"> +<event date="2022-10-19"> +<para> +<link doc="en/download.xml">nginx-1.22.1</link> +stable and +<link doc="en/download.xml">nginx-1.23.2</link> +mainline versions have been released, +with a fix for the +<link doc="en/security_advisories.xml">memory corruption and +memory disclosure</link> +vulnerabilities in the ngx_http_mp4_module (CVE-2022-41741, CVE-2022-41742). +</para> +</event> + <event date="2022-09-13"> <para> <link url="https://unit.nginx.org/">unit-1.28.0</link> version has been
--- a/xml/versions.xml Tue Oct 18 11:56:15 2022 +0100 +++ b/xml/versions.xml Wed Oct 19 11:26:47 2022 +0300 @@ -9,6 +9,7 @@ <download tag="mainline" changes=""> +<item ver="1.23.2" /> <item ver="1.23.1" /> <item ver="1.23.0" /> @@ -17,6 +18,7 @@ <download tag="stable" changes="1.22"> +<item ver="1.22.1" /> <item ver="1.22.0" /> <item ver="1.21.6" /> <item ver="1.21.5" />