요약 내용
호스트 이름 및 사용자 지정 acme 서버의 변경 사항, 수정된 upstream CVE, 발견한 문제를 신고하십시오.
변경된 사항
- 업스트림 병합 (CVE 수정 포함 – 인증서 생성 중 쉘/명령 주입 – 악용을 위해 인증서 생성 권한이 필요함)
- 참고: upstream은 API 엔드포인트에 정규식 검사를 추가하여 이 문제를 해결함 (포함되었음). 이로 인해 새 호스트/호스트에 사용 중인 정규식이 있는 경우 호스트가 중단될 수 있음
- 참고: 저는 (‘child_process’).exec 대신 require(‘child_process’).execFile로 전환하여 이러한 주입을 완전히 방지하는 두 번째 수정도 추가했습니다. 따라서 upstream의 정규식 변경은 필요에 따라 되돌릴 수 있을 것입니다
- 또한 테스트 중에 이미 알아차린 몇 가지 작은 upstream 버그도 수정했으므로 새로운 정규식 검사를 통해 더 많은 버그가 있을 수 있습니다
- 의존성 업데이트
- apache2-utils 대신 node 모듈을 사용하여 nginx 액세스 리스트 생성
- 새로운 인스턴스를 위해 앱 보안 파일 업로드 수정: 앱 보안 시간 제한 증가,
/opt/npm/etc/crowdsec/crowdsec.conf
구성 파일의 백업을 생성하는 것이 좋습니다. 이후 파일을 삭제한 다음 NPMplus를 다시 시작하여 파일이 다시 생성되고 구성할 수 있도록 구성하십시오. - certbot-ocsp-fetcher.sh 완료 후 nginx 다시 로드
- 사용자 지정 certbot.ini 지원 제거, 사용자 지정 acme 서버를 사용하려면 compose.yaml에서 찾을 수 있는 새로운 환경을 사용하십시오.
- ipv6 비활성화 수정
- nginx/custom이 이제 nginx_custom으로 변경됨 (하위 폴더에서 새 폴더로)
- 인증서 생성 시 이메일을 입력할 필요가 없습니다 (compose.yaml에서 수행하십시오)
- DNS 전파 지연 지원 제거
- rootless 모드에서 nginx.conf에서 ‘#’ 중복 수정
- 백엔드에서 압축 허용
- 기본 ssl_ecdh_curve 개선 (X25519MLKEM768 활성화)
- env를 사용하여 proxy buffering을 비활성화하면 proxy_request_buffering도 비활성화됨
- 압축할 마인 유형 제한 (텍스트/이미지/음성) – 누락된 항목이나 압축해서는 안 되는 것에 대한 아이디어가 있다면 토론을 열어주십시오 (현재: text/html text/css text/javascript text/xml application/atom+xml application/rss+xml text/markdown text/mathml text/plain text/vnd.sun.j2me.app-descriptor text/vnd.wap.wml text/x-component application/json application/xhtml+xml application/xspf+xml font/woff font/woff2 image/avif image/bmp image/png image/svg+xml image/tiff image/vnd.wap.wbmp image/webp image/x-icon image/x-jng audio/midi audio/mpeg audio/ogg audio/x-m4a audio/x-realaudio)
업데이트하는 방법
- 상기 변경 사항을 읽으십시오
- zoeyvid/npmplus:latest 이미지를 가져옵니다.
- compose.yaml/NPMplus에서 위와 같은 변경 사항을 적용합니다.
- compose 스택을 다시 배포합니다.
- 발견한 문제를 신고하십시오.
전체 변경 내역: 2024-10-05-r1...2024-10-21-r1
원문 내용
Breaking changes in host names and custom acme servers, fixed upstreams CVEs, please report any issues you find
What’s Changed
- merge upstream (including CVE fixes – shell/command injection while creating certificates – permission to create certs was required to exploit)
- Note: upstream fixed this by adding regex checks in API endpoint (is included), this may break new hosts/your hosts if you update them, and you are using regex inside your host names
- Note: I added a second fix by switching from (‘child_process’).exec to require(‘child_process’).execFile, this should prevent this kind of injection completely, so the regex change from upstream should be safe to revert if needed
- I also fixed some small upstream bugs which I already noticed while testing, so there are probably more through new regex checks
- dep updates
- generate nginx access lists using node module instead of apache2-utils
- for new instances, fix appsec file upload: increase appsec timeouts, I recommend that you create a backup of your
/opt/npm/etc/crowdsec/crowdsec.conf
config file, delete it, then restart NPMplus (so the file gets recreated) and you then configure it again, so you have the new timeouts - reload nginx after certbot-ocsp-fetcher.sh finished
- custom certbot.ini support REMOVED, if you want to use a custom acme server please do this using the new envs you can find in the compose.yaml
- fix disabling ipv6
- nginx/custom is now nginx_custom (from sub folder to new folder)
- you no longer need to enter your email while creating certs (please do this in compose.yaml)
- DNS propagation delay support removed
- fixed duplicating ‘#’ in nginx.conf in rootless mode
- allow backend to compress
- improve default ssl_ecdh_curve (enable X25519MLKEM768)
- also disable proxy_request_buffering if you disable proxy buffering using env
- limit mine types to compress (text/images/auido) – if you have ideas if something is missing or should not be compressed please open a discussion (currently: text/html text/css text/javascript text/xml application/atom+xml application/rss+xml text/markdown text/mathml text/plain text/vnd.sun.j2me.app-descriptor text/vnd.wap.wml text/x-component application/json application/xhtml+xml application/xspf+xml font/woff font/woff2 image/avif image/bmp image/png image/svg+xml image/tiff image/vnd.wap.wbmp image/webp image/x-icon image/x-jng audio/midi audio/mpeg audio/ogg audio/x-m4a audio/x-realaudio)
How to update
- Read the changes above
- Pull the zoeyvid/npmplus:latest image
- apply possible changes that maybe effect you from above to your compose.yaml/NPMplus
- redeploy the compose stack
- report any issues you find
Full Changelog: 2024-10-05-r1...2024-10-21-r1
링크 : https://github.com/ZoeyVid/NPMplus/releases/tag/2024-10-21-r1