Die neue Version von nginx 1.22.0 wurde bereits veröffentlicht

Darkcrizt

4 Minuten

Nach 13 Monaten Entwicklungszeit neuer stabiler Zweig veröffentlicht Leistungsstarker HTTP-Server und Multiprotokoll-Proxy-Server Nginx 1.22.0, die die im 1.21.x-Hauptzweig angesammelten Änderungen enthält.

In der Zukunft Alle Änderungen im Stable-Zweig von 1.22 beziehen sich auf das Debugging und schwerwiegende Schwachstellen. In Kürze wird der Hauptzweig von nginx 1.23 gebildet, in dem die Entwicklung neuer Funktionen fortgesetzt wird.

Für normale Benutzer, die nicht die Aufgabe haben, die Kompatibilität mit Modulen von Drittanbietern sicherzustellen, wird empfohlen, den Hauptzweig zu verwenden, auf dessen Grundlage alle drei Monate Versionen des kommerziellen Produkts Nginx Plus gebildet werden.

Hauptneuigkeiten in nginx 1.22.0

In dieser neuen Version von nginx 1.22.0, die vorgestellt wird, ist die Verbesserter Schutz vor Attacken der Klasse HTTP Request Smuggling in Front-End-Back-End-Systemen, die es Ihnen ermöglichen, auf den Inhalt von Anfragen anderer Benutzer zuzugreifen, die im selben Thread zwischen Front-End und Back-End verarbeitet werden. Nginx gibt jetzt immer einen Fehler zurück, wenn die CONNECT-Methode verwendet wird; durch gleichzeitiges Spezifizieren der "Content-Length"- und "Transfer-Encoding"-Header; wenn Leerzeichen oder Steuerzeichen in der Abfragezeichenfolge, im HTTP-Header-Namen oder im „Host“-Header-Wert vorhanden sind.

Eine weitere Neuheit, die in dieser neuen Version auffällt, ist die Unterstützung für Variablen zu Direktiven hinzugefügt „proxy_ssl_certificate“, „proxy_ssl_certificate_key“, „grpc_ssl_certificate“, „grpc_ssl_certificate_key“, „uwsgi_ssl_certificate“ und „uwsgi_ssl_certificate_key“.

Darüber hinaus wird auch darauf hingewiesen, dass es hinzugefügt wurde Unterstützung für den "Pipeline"-Modus um mehrere POP3- oder IMAP-Anfragen über dieselbe Verbindung an das Mail-Proxy-Modul zu senden, sowie eine neue "max_errors"-Direktive, die die maximale Anzahl von Protokollfehlern angibt, nach denen die Verbindung geschlossen wird.

Überschriften "Auth-SSL-Protocol" und "Auth-SSL-Cipher" werden an den Mail-Proxy-Authentifizierungsserver übergeben, Außerdem wurde das Übertragungsmodul um die Unterstützung der ALPN-TLS-Erweiterung erweitert. Um die Liste der unterstützten ALPN-Protokolle (h2, http/1.1) zu ermitteln, wird die Direktive ssl_alpn vorgeschlagen, und um Informationen über das mit dem Client vereinbarte ALPN-Protokoll zu erhalten, die Variable $ssl_alpn_protocol.

Von den anderen Änderungen das fällt auf:

  • Blockieren von HTTP/1.0-Anforderungen, die den HTTP-Header „Transfer-Encoding“ enthalten (eingeführt in der HTTP/1.1-Protokollversion).
  • Die FreeBSD-Plattform hat die Unterstützung für den Systemaufruf sendfile verbessert, der eine direkte Datenübertragung zwischen einem Dateideskriptor und einem Socket orchestrieren soll. Der sendfile(SF_NODISKIO)-Modus ist dauerhaft aktiviert und die Unterstützung für den sendfile(SF_NOCACHE)-Modus wurde hinzugefügt.
  • Dem Sendemodul wurde der Parameter „fastopen“ hinzugefügt, der den Modus „TCP Fast Open“ für Listening Sockets aktiviert.
  • Escaping von Zeichen """, "<", ">", "\", "^", "`", "{", "|" behoben und "}" bei Verwendung von Proxy mit URI-Änderung.
  • Das Stream-Modul wurde um die Direktive proxy_half_close erweitert, mit der das Verhalten konfiguriert werden kann, wenn eine Proxy-TCP-Verbindung einseitig geschlossen wird ("TCP half-close").
  • Dem Modul ngx_http_mp4_module wurde eine neue Direktive mp4_start_key_frame hinzugefügt, um ein Video von einem Keyframe zu streamen.
  • $ssl_curve-Variable hinzugefügt, um den Typ der elliptischen Kurve zurückzugeben, die für die Schlüsselaushandlung in einer TLS-Sitzung ausgewählt wurde.
  • Die Direktive sendfile_max_chunk hat den Standardwert auf 2 Megabyte geändert;
  • Unterstützung durch die OpenSSL 3.0-Bibliothek. Unterstützung für den Aufruf von SSL_sendfile() bei Verwendung von OpenSSL 3.0 hinzugefügt.
  • Das Assemblieren mit der PCRE2-Bibliothek ist standardmäßig aktiviert und bietet Funktionen zum Verarbeiten regulärer Ausdrücke.
  • Beim Laden von Serverzertifikaten wurde die Verwendung der seit OpenSSL 1.1.0 unterstützten und über den Parameter "@SECLEVEL=N" in der Direktive ssl_ciphers gesetzten Sicherheitsstufen angepasst.
  • Unterstützung für den Export von Cipher-Suites entfernt.
  • In der API zum Filtern des Anforderungstexts ist das Puffern verarbeiteter Daten zulässig.
  • Die Unterstützung für den Aufbau von HTTP/2-Verbindungen mit der NPN-Erweiterung (Next Protocol Negotiation) anstelle von ALPN wurde entfernt.

Schließlich wenn Sie mehr darüber wissen möchtenkönnen Sie die Details überprüfen im folgenden Link.


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.