La nouvelle version de nginx 1.22.0 est déjà sortie

Darkcrizt

Minutes 4

Après 13 mois de développement nouvelle branche stable publiée Serveur HTTP performant et serveur proxy multiprotocole nginx 1.22.0, qui intègre les modifications accumulées dans la branche principale 1.21.x.

Dans le futur, tous les changements dans la branche stable 1.22 seront liés au débogage et de graves vulnérabilités. La branche principale de nginx 1.23 sera bientôt formée, dans laquelle le développement de nouvelles fonctionnalités se poursuivra.

Pour les utilisateurs ordinaires qui n'ont pas la tâche d'assurer la compatibilité avec les modules tiers, il est recommandé d'utiliser la branche principale, sur la base de laquelle les versions du produit commercial Nginx Plus sont formées tous les trois mois.

Principales nouveautés de nginx 1.22.0

Dans cette nouvelle version de nginx 1.22.0 qui est présentée, le Protection renforcée contre les attaques de classe HTTP Request Smuggling dans les systèmes front-end-backend qui vous permettent d'accéder au contenu des requêtes d'autres utilisateurs traitées dans le même fil entre le front-end et le back-end. Nginx renvoie désormais toujours une erreur lors de l'utilisation de la méthode CONNECT ; en spécifiant simultanément les en-têtes "Content-Length" et "Transfer-Encoding" ; lorsqu'il y a des espaces ou des caractères de contrôle dans la chaîne de requête, le nom d'en-tête HTTP ou la valeur d'en-tête "Host".

Une autre nouveauté qui se démarque dans cette nouvelle version est que ajout de la prise en charge des variables aux directives "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" et "uwsgi_ssl_certificate_key".

En outre, il est également noté qu'il a été ajouté prise en charge du mode "pipeline" pour envoyer plusieurs requêtes POP3 ou IMAP sur la même connexion au module proxy de messagerie, ainsi qu'une nouvelle directive "max_errors" qui spécifie le nombre maximum d'erreurs de protocole après lequel la connexion sera fermée.

En-têtes "Auth-SSL-Protocol" et "Auth-SSL-Cipher" sont transmis au serveur d'authentification proxy de messagerie, De plus, la prise en charge de l'extension ALPN TLS a été ajoutée au module de transmission. Pour déterminer la liste des protocoles ALPN supportés (h2, http/1.1), la directive ssl_alpn est proposée, et pour obtenir des informations sur le protocole ALPN convenu avec le client, la variable $ssl_alpn_protocol.

Des autres changements qui se démarquent:

  • Blocage des requêtes HTTP/1.0 qui incluent l'en-tête HTTP "Transfer-Encoding" (introduit dans la version du protocole HTTP/1.1).
  • La plate-forme FreeBSD a amélioré la prise en charge de l'appel système sendfile, qui est conçu pour orchestrer un transfert direct de données entre un descripteur de fichier et un socket. Le mode sendfile(SF_NODISKIO) est activé en permanence et la prise en charge du mode sendfile(SF_NOCACHE) a été ajoutée.
  • Le paramètre "fastopen" a été ajouté au module de transmission, ce qui active le mode "TCP Fast Open" pour les sockets d'écoute.
  • Correction de l'échappement des caractères """, "<", ">", "\", "^", "`", "{", "|" et "}" lors de l'utilisation d'un proxy avec changement d'URI.
  • La directive proxy_half_close a été ajoutée au module de flux, avec laquelle le comportement lorsqu'une connexion TCP proxy est fermée d'un côté ("TCP half-close") peut être configuré.
  • Ajout d'une nouvelle directive mp4_start_key_frame au module ngx_http_mp4_module pour diffuser une vidéo à partir d'une image clé.
  • Ajout de la variable $ssl_curve pour renvoyer le type de courbe elliptique sélectionné pour la négociation de clé dans une session TLS.
  • La directive sendfile_max_chunk a changé la valeur par défaut à 2 mégaoctets ;
  • Support fourni avec la bibliothèque OpenSSL 3.0. Ajout de la prise en charge de l'appel de SSL_sendfile() lors de l'utilisation d'OpenSSL 3.0.
  • L'assemblage avec la librairie PCRE2 est activé par défaut et propose des fonctions de traitement des expressions régulières.
  • Lors du chargement des certificats de serveur, l'utilisation des niveaux de sécurité pris en charge depuis OpenSSL 1.1.0 et définis via le paramètre "@SECLEVEL=N" dans la directive ssl_ciphers a été ajustée.
  • Suppression de la prise en charge de la suite de chiffrement d'exportation.
  • Dans l'API de filtrage du corps de la demande, la mise en mémoire tampon des données traitées est autorisée.
  • Suppression de la prise en charge de l'établissement de connexions HTTP/2 à l'aide de l'extension NPN (Next Protocol Negotiation) au lieu d'ALPN.

Enfin si vous souhaitez en savoir plus, vous pouvez vérifier les détails dans le lien suivant.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.