Ang bagong bersyon ng nginx 1.22.0 ay inilabas na

Darkcrizt

4 Minutos

Pagkatapos ng 13 buwan ng pag-unlad bagong stable branch na inilabas Mataas na pagganap ng HTTP server at multi-protocol proxy server nginx 1.22.0, na isinasama ang mga pagbabagong naipon sa 1.21.x na pangunahing sangay.

Sa hinaharap, lahat ng pagbabago sa 1.22 stable na branch ay mauugnay sa pag-debug at malubhang kahinaan. Ang pangunahing sangay ng nginx 1.23 ay mabuo sa lalong madaling panahon, kung saan ang pagbuo ng mga bagong tampok ay magpapatuloy.

Para sa mga ordinaryong gumagamit na walang gawain na tiyakin ang pagiging tugma sa mga module ng third-party, inirerekumenda na gamitin ang pangunahing sangay, batay sa kung aling mga bersyon ng komersyal na produkto ng Nginx Plus ang nabuo tuwing tatlong buwan.

Pangunahing balita sa nginx 1.22.0

Sa bagong bersyon na ito ng nginx 1.22.0 na ipinakita, ang Pinahusay na proteksyon laban sa HTTP Request Smuggling class attacks sa mga front-end-backend system na nagbibigay-daan sa iyong i-access ang nilalaman ng mga kahilingan ng ibang mga user na naproseso sa parehong thread sa pagitan ng front-end at back-end. Lagi na ngayong nagbabalik ng error ang Nginx kapag ginagamit ang paraan ng CONNECT; sa pamamagitan ng sabay na pagtukoy sa mga header na "Haba ng Nilalaman" at "Transfer-Encoding"; kapag may mga puwang o control character sa query string, HTTP header name, o "Host" header value.

Ang isa pang bagong bagay na kapansin-pansin sa bagong bersyon na ito ay iyon nagdagdag ng suporta para sa mga variable sa mga direktiba "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" at "uwsgi_ssl_certificate_key".

Bilang karagdagan, nabanggit din na ito ay idinagdag suporta para sa "pipelining" mode upang magpadala ng maramihang mga kahilingan sa POP3 o IMAP sa parehong koneksyon sa mail proxy module, pati na rin ang isang bagong "max_errors" na direktiba na tumutukoy sa maximum na bilang ng mga error sa protocol pagkatapos nito ay isasara ang koneksyon.

Mga Header Ang "Auth-SSL-Protocol" at "Auth-SSL-Cipher" ay ipinapasa sa mail proxy authentication server, at suporta para sa ALPN TLS extension ay idinagdag sa transmission module. Upang matukoy ang listahan ng mga sinusuportahang ALPN protocol (h2, http/1.1), ang ssl_alpn directive ay iminungkahi, at upang makakuha ng impormasyon tungkol sa ALPN protocol na napagkasunduan sa kliyente, ang variable na $ssl_alpn_protocol.

Sa iba pang mga pagbabago matindi yan:

  • Bina-block ang mga kahilingan sa HTTP/1.0 na kinabibilangan ng "Transfer-Encoding" HTTP header (ipinakilala sa bersyon ng HTTP/1.1 na protocol).
  • Ang FreeBSD platform ay nagpabuti ng suporta para sa sendfile system call, na idinisenyo upang ayusin ang isang direktang paglipat ng data sa pagitan ng isang file descriptor at isang socket. Ang sendfile(SF_NODISKIO) mode ay permanenteng pinagana at suporta para sa sendfile(SF_NOCACHE) mode ay naidagdag na.
  • Ang parameter na "fastopen" ay idinagdag sa transmit module, na nagbibigay-daan sa "TCP Fast Open" mode para sa mga listening socket.
  • Inayos ang pagtakas ng mga character na """, "<", ">", "\", "^", "`", "{", "|" at "}" kapag gumagamit ng proxy na may pagbabago sa URI.
  • Ang proxy_half_close na direktiba ay idinagdag sa stream module, kung saan ang gawi kapag ang isang proxy na koneksyon ng TCP ay sarado sa isang panig ("TCP half-close") ay maaaring i-configure.
  • Nagdagdag ng bagong mp4_start_key_frame na direktiba sa ngx_http_mp4_module module para mag-stream ng video mula sa isang key frame.
  • Nagdagdag ng $ssl_curve variable upang ibalik ang uri ng elliptic curve na pinili para sa pangunahing negosasyon sa isang TLS session.
  • Binago ng sendfile_max_chunk directive ang default na halaga sa 2 megabytes;
  • Ibinigay ang suporta kasama ang OpenSSL 3.0 library. Nagdagdag ng suporta para sa pagtawag sa SSL_sendfile() kapag gumagamit ng OpenSSL 3.0.
  • Ang pagpupulong kasama ang PCRE2 library ay pinagana bilang default at nagbibigay ng mga function para sa pagproseso ng mga regular na expression.
  • Kapag naglo-load ng mga sertipiko ng server, ang paggamit ng mga antas ng seguridad na suportado mula noong OpenSSL 1.1.0 at itinakda sa pamamagitan ng parameter na "@SECLEVEL=N" sa direktiba ng ssl_ciphers ay naayos.
  • Inalis ang suporta sa export cipher suite.
  • Sa request body filtering API, pinapayagan ang pag-buffer ng naprosesong data.
  • Inalis ang suporta para sa pagtatatag ng mga koneksyon sa HTTP/2 gamit ang extension ng Next Protocol Negotiation (NPN) sa halip na ALPN.

Sa wakas kung interesado kang malaman ang tungkol dito, maaari mong suriin ang mga detalye Sa sumusunod na link.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.