ProHoster > Блог > internet vijesti > nginx 1.30.0

nginx 1.30.0

Nakon godinu dana razvoja, Nginx projekat je najavio izlazak nove stabilne grane, 1.30.0. Tokom pripreme za ovu stabilnu verziju ispravljeno je šest ranjivosti, od kojih su se četiri odnosile na modul za obradu medijskih datoteka i protokole za autentifikaciju. Ključna promjena bila je podrška za HTTP/3 i QUIC, koja se sada smatra spremnom za produkciju.

Ispravljene ranjivosti:

  • CVE-2026-27654: Prelijevanje bafera prilikom obrade zahtjeva za KOPIRANJE ili PREMJEŠTANJE na lokaciji s direktivom alias moglo bi omogućiti napadaču da pobjegne iz korijenskog direktorija web-mjesta.
  • CVE-2026-27784: Posebno kreirana MP4 datoteka može uzrokovati pad sistema na 32-bitnim platformama.
  • CVE-2026-27651: Došlo je do greške segmentacije u toku rada pri korištenju CRAM-MD5 ili APOP metoda autentifikacije s omogućenim ponovnim pokušajem autentifikacije.
  • CVE-2026-28753: Korištenje PTR DNS zapisa za ubacivanje podataka u auth_http zahtjeve i XCLIENT naredbu u backend SMTP vezi.
  • CVE-2026-28755: Uspješan završetak SSL-rukovanja, uprkos tome što je OCSP odbio klijentski certifikat provjerom u stream modulu.

Druge značajne inovacije:

  • HTTP rani savjeti (103): Server može slati privremene zaglavlja bez čekanja da backend u potpunosti generira odgovor, što ubrzava učitavanje stranice.
  • Šifrirani pozdrav klijenta (ECH): TLS funkcija privatnosti koja skriva naziv tražene web-lokacije od posmatrača mreže.
  • Ljepljive sesije: Sticky direktiva u uzvodnom bloku osigurava da su klijentske sesije "povezane" sa određenim server pozadinski sistem.
  • Višestruki TCP (MPTCP): Podrška za parametar multipath u direktivi listen radi poboljšanja tolerancije grešaka i propusnosti na transportnom sloju.
  • Održavanje aktivnosti: Zadana vrijednost proxy_http_version je promijenjena na 1.1 i proxy više ne šalje zaglavlje veze.server, što poboljšava ponovnu upotrebu veze.
  • OpenSSL 4.0: Kompatibilnost sa nadolazećom glavnom verzijom kriptografske biblioteke je osigurana.
  • geo-modul: Direktiva include unutar geo bloka sada podržava džoker znakove.

izvor: linux.org.ru