După 13 luni de dezvoltare noua ramură stabilă eliberată Server HTTP de înaltă performanță și server proxy multi-protocol nginx 1.22.0, care încorporează modificările acumulate în ramura principală 1.21.x.
În viitor, toate modificările din ramura stabilă 1.22 vor fi legate de depanare și vulnerabilități grave. Ramura principală a nginx 1.23 va fi formată în curând, în care dezvoltarea de noi funcții va continua.
Pentru utilizatorii obișnuiți care nu au sarcina de a asigura compatibilitatea cu modulele terțe, se recomandă utilizarea ramurii principale, pe baza căreia se formează versiunile produsului comercial Nginx Plus la fiecare trei luni.
Principalele știri în nginx 1.22.0
În această nouă versiune a nginx 1.22.0 care este prezentată, Protecție îmbunătățită împotriva atacurilor de clasă HTTP Request Smuggling în sistemele front-end-backend care vă permit să accesați conținutul solicitărilor altor utilizatori procesate în același fir între front-end și back-end. Nginx returnează acum întotdeauna o eroare atunci când utilizați metoda CONNECT; prin specificarea simultană a antetelor „Content-Length” și „Transfer-Encoding”; când există spații sau caractere de control în șirul de interogare, numele antetului HTTP sau valoarea antetului „Gazdă”.
O altă noutate care iese în evidență în această nouă versiune este aceea că a adăugat suport pentru variabile la directive „proxy_ssl_certificate”, „proxy_ssl_certificate_key”, „grpc_ssl_certificate”, „grpc_ssl_certificate_key”, „uwsgi_ssl_certificate” și „uwsgi_ssl_certificate_key”.
În plus, se mai remarcă faptul că a fost adăugat suport pentru modul „pipeline”. pentru a trimite mai multe cereri POP3 sau IMAP pe aceeași conexiune către modulul proxy de mail, precum și o nouă directivă „max_errors” care specifică numărul maxim de erori de protocol după care conexiunea va fi închisă.
Anteturi „Auth-SSL-Protocol” și „Auth-SSL-Cipher” sunt transmise serverului de autentificare proxy de e-mail, plus suportul pentru extensia ALPN TLS a fost adăugat la modulul de transmisie. Pentru a determina lista de protocoale ALPN suportate (h2, http/1.1), se propune directiva ssl_alpn, iar pentru a obtine informatii despre protocolul ALPN agreat cu clientul, variabila $ssl_alpn_protocol.
Dintre celelalte schimbări care ies în evidență:
- Blocarea solicitărilor HTTP/1.0 care includ antetul HTTP „Transfer-Encoding” (introdus în versiunea protocolului HTTP/1.1).
- Platforma FreeBSD a îmbunătățit suportul pentru apelul de sistem sendfile, care este conceput pentru a orchestra un transfer direct de date între un descriptor de fișier și un socket. Modul sendfile(SF_NODISKIO) este activat permanent și a fost adăugat suport pentru modul sendfile(SF_NOCACHE).
- Parametrul „fastopen” a fost adăugat la modulul de transmisie, care activează modul „TCP Fast Open” pentru mufele de ascultare.
- S-a rezolvat evadarea caracterelor """, "<", ">", "\", "^", "`", "{", "|" și „}” când utilizați proxy cu modificarea URI.
- La modulul de flux a fost adăugată directiva proxy_half_close, cu care poate fi configurat comportamentul atunci când o conexiune TCP proxy este închisă pe o parte („TCP half-close”).
- S-a adăugat o nouă directivă mp4_start_key_frame la modulul ngx_http_mp4_module pentru a transmite în flux un videoclip dintr-un cadru cheie.
- S-a adăugat variabila $ssl_curve pentru a returna tipul de curbă eliptică selectată pentru negocierea cheii într-o sesiune TLS.
- Directiva sendfile_max_chunk a schimbat valoarea implicită la 2 megaocteți;
- Asistență oferită cu biblioteca OpenSSL 3.0. S-a adăugat suport pentru apelarea SSL_sendfile() când utilizați OpenSSL 3.0.
- Asamblarea cu biblioteca PCRE2 este activată implicit și oferă funcții pentru procesarea expresiilor regulate.
- La încărcarea certificatelor de server, utilizarea nivelurilor de securitate acceptate începând cu OpenSSL 1.1.0 și setate prin parametrul „@SECLEVEL=N” din directiva ssl_ciphers a fost ajustată.
- S-a eliminat suportul pentru export cipher suite.
- În API-ul de filtrare a corpului cererii, este permisă stocarea în tampon a datelor procesate.
- S-a eliminat suportul pentru stabilirea conexiunilor HTTP/2 folosind extensia Next Protocol Negotiation (NPN) în loc de ALPN.
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta, puteți verifica detaliile În următorul link.