nginx 发布了两个新版本,分别是 stable 分支的 1.22.1 和 mainline 分支的 1.23.2,更新内容主要是修复安全问题。
nginx 1.22.1
安全修复:使用 ngx_http_mp4_module 模块处理特制的 mp4 文件时,可能会导致 worker 进程崩溃、worker 进程内存泄漏和损坏,也可能产生潜在的其他影响 (CVE-2022-41741, CVE-2022-41742
nginx 1.23.2
安全修复:使用 ngx_http_mp4_module 模块处理特制的 mp4 文件时,可能会导致 worker 进程崩溃、worker 进程内存泄漏和损坏,也可能产生潜在的其他影响 (CVE-2022-41741, CVE-2022-41742
新特性:引入 "$proxy_protocol_tlv_..." 变量
新特性:当在 "ssl_session_cache" 指令中使用共享内存时,TLS 会话凭据加密密钥会自动切换
变化:"bad record type" SSL 错误的日志级别从 "crit" 降低到 "info"
变化:当在 "ssl_session_cache" 指令中使用共享内存时,“无法分配新会话” 的错误被记录在 "warn" 级别,而不是此前的 "alert",并且不超过每秒钟一次。
Bugfix:修复 nginx/Windows 无法使用 OpenSSL 3.0.x 构建的问题
Bugfix:修复 PROXY 协议的日志错误
Workaround:当使用搭载 OpenSSL 的 TLSv1.3 时,来自 "ssl_session_cache" 指令的共享内存被用在使用 TLS 会话凭据的会话上
Workaround:当使用搭载 OpenSSL 或 BoringSSL 的 TLSv1.3 时,使用 "ssl_session_timeout" 指令指定的超时不起作用