13 kuukauden kehitystyön jälkeen uusi vakaa haara julkaistu Tehokas HTTP-palvelin ja usean protokollan välityspalvelin nginx 1.22.0, joka sisältää 1.21.x-päähaaraan kertyneet muutokset.
Tulevaisuudessa, kaikki 1.22 vakaan haaran muutokset liittyvät virheenkorjaukseen ja vakavia haavoittuvuuksia. Pian muodostuu nginx 1.23:n päähaara, jossa uusien ominaisuuksien kehittäminen jatkuu.
Tavallisille käyttäjille, joilla ei ole tehtävää varmistaa yhteensopivuus kolmansien osapuolien moduulien kanssa, on suositeltavaa käyttää päähaaraa, jonka perusteella kaupallisen tuotteen Nginx Plus versiot muodostetaan kolmen kuukauden välein.
Tärkeimmät uutiset nginx 1.22.0:ssa
Tässä esitellyssä nginx 1.22.0:n uudessa versiossa Parannettu suojaus HTTP Request Smuggling -luokan hyökkäyksiä vastaan käyttöliittymän taustajärjestelmissä, joiden avulla voit käyttää muiden käyttäjien pyyntöjen sisältöä, jotka on käsitelty samassa säikeessä käyttöliittymän ja taustan välillä. Nginx palauttaa nyt aina virheen, kun käytetään CONNECT-menetelmää; määrittämällä samanaikaisesti otsikot "Content-Length" ja "Transfer-Encoding"; kun kyselymerkkijonossa, HTTP-otsikon nimessä tai "Host"-otsikon arvossa on välilyöntejä tai ohjausmerkkejä.
Toinen uutuus, joka erottuu tässä uudessa versiossa, on se lisäsi muuttujien tuen direktiiveihin "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" ja "uwsgi_ssl_certificate_key".
Lisäksi huomautetaan, että se lisättiin tuki "pipelining"-tilalle lähettää useita POP3- tai IMAP-pyyntöjä samalla yhteydellä sähköpostin välityspalvelinmoduuliin sekä uusi "max_errors"-direktiivi, joka määrittää protokollavirheiden enimmäismäärän, jonka jälkeen yhteys suljetaan.
Otsikot "Auth-SSL-Protocol" ja "Auth-SSL-Cipher" välitetään sähköpostin välityspalvelimen todennuspalvelimelle, plus tuki ALPN TLS -laajennukselle lisättiin lähetysmoduuliin. Tuettujen ALPN-protokollien luettelon (h2, http/1.1) määrittämiseksi ehdotetaan ssl_alpn-direktiiviä ja asiakkaan kanssa sovitun ALPN-protokollan tietojen saamiseksi muuttujaa $ssl_alpn_protocol.
Muista muutoksista jotka erottuvat:
- Estää HTTP/1.0-pyynnöt, jotka sisältävät "Transfer-Encoding" HTTP-otsikon (sisältyy HTTP/1.1-protokollaversioon).
- FreeBSD-alustalla on parannettu tuki sendfile-järjestelmäkutsulle, joka on suunniteltu järjestämään suora tiedonsiirto tiedostokuvaajan ja socketin välillä. Sendfile (SF_NODISKIO) -tila on pysyvästi käytössä, ja tuki lähetystiedostolle (SF_NOCACHE) on lisätty.
- Lähetysmoduuliin on lisätty "fastopen"-parametri, joka mahdollistaa "TCP Fast Open" -tilan kuunteluliittimille.
- Korjattu merkkien "", "<", ">", "\", "^", "`", "{", "|" poistomerkki ja "}", kun välityspalvelinta käytetään URI-muutoksen kanssa.
- Virtausmoduuliin on lisätty käsky proxy_half_close, jolla voidaan konfiguroida käyttäytymistä, kun välityspalvelimen TCP-yhteys suljetaan toiselta puolelta ("TCP half-close").
- Lisättiin uusi mp4_start_key_frame-direktiivi ngx_http_mp4_module-moduuliin videon suoratoistoa varten avainkehyksestä.
- Lisätty $ssl_curve-muuttuja palauttamaan TLS-istunnon avainneuvottelulle valitun elliptisen käyrän tyypin.
- Sendfile_max_chunk-direktiivi muutti oletusarvoksi 2 megatavua;
- OpenSSL 3.0 -kirjaston tarjoama tuki. Lisätty tuki SSL_sendfile():n kutsumiselle käytettäessä OpenSSL 3.0:aa.
- Kokoonpano PCRE2-kirjastolla on oletusarvoisesti käytössä ja tarjoaa toimintoja säännöllisten lausekkeiden käsittelyyn.
- Palvelinvarmenteita ladattaessa on säädetty OpenSSL 1.1.0:sta lähtien tukemien ja ssl_ciphers-direktiivin @SECLEVEL=N-parametrin kautta asetettujen suojaustasojen käyttöä.
- Vie salauspaketin tuki poistettu.
- Pyyntötekstin suodatussovellusliittymässä käsiteltyjen tietojen puskurointi on sallittua.
- Poistettu tuki HTTP/2-yhteyksien muodostamiselle Next Protocol Negotiation (NPN) -laajennuksella ALPN:n sijaan.
Vihdoin jos olet kiinnostunut tietämään siitä lisää, voit tarkistaa yksityiskohdat Seuraavassa linkissä.