Обновления nginx 1.29.7 и 1.28.3 с устранением 6 уязвимостей

Сформирован выпуск основной ветки nginx 1.29.7, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.28.3, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранено 6 уязвимостей, три из которых приводят к переполнению буфера. Четырём уязвимостям присвоен высокий уровень опасности (8.8 или 8.5 из 10).

• CVE-2026-27654 — переполнение буфера в модуле ngx_http_dav_module, возникающее при обработке WebDAV-запросов COPY и MOVE при использовании в блоках «location» директивы «alias». Уязвимость позволяет изменить пути к файлам для обращения за пределы базового каталога. Проблема выявлена с использованием AI-модели Claude.
• CVE-2026-27784, CVE-2026-32647 — переполнения буферов в модуле ngx_http_mp4_module, возникающие при обработке специально оформленных файлов mp4. Не исключается, что эксплуатация уязвимости не ограничивается аварийным завершением рабочего процесса.
• CVE-2026-27651 — разыменование нулевого указателя при некорректном использовании методов аутентификации CRAM-MD5 или APOP.
• CVE-2026-28753 — возможность манипуляции с PTR-записями в DNS для подстановки данных атакующего в запросы auth_http и команду XCLIENT в SMTP-соединении к бэкенду.
• CVE-2026-28755 — обход результата OCSP-проверки сертификата в модуле stream.

Среди не связанных с безопасностью изменений в nginx 1.29.7

• Добавлена поддержка протокола Multipath TCP (MPTCP), позволяющего доставлять пакеты одновременно по нескольким маршрутам через разные сетевые интерфейсы. Для включения в директиву «listen» добавлен параметр «multipath».
• В директиву «keepalive», используемую в блоке «upstream», добавлен параметр «local». При указании данного параметра, вместо совместного использования одного соединения к общему upstream-серверу, упоминаемому в разных блоках location и server, для каждого блока поддерживается отдельное соединение к upstream.
• В блоке «upstream» активирована по умолчанию директива «keepalive».
• При использовании в режиме прокси по умолчанию выставлена версия протокола HTTP/1.1 с включением режима keep-alive (в модуле ngx_http_proxy_module включена по умолчанию поддержка keep-alive и выставлено значение «1.1» в директиве «proxy_http_version» и прекращена отправка по умолчанию заголовка «Connection»). Для возвращения старого поведения, позволяющего обращаться к бэкендам, поддерживающим только HTTP/1.0, следует выставить настройки: proxy_http_version 1.0; proxy_set_header Connection «Close»;

Источник: opennet.ru