Ang nag-unang sanga sa nginx 1.27.4 gipagawas, diin ang mga bag-ong bahin gipalambo, ingon man ang parallel stable nga sanga sa nginx 1.26.3, nga naglangkob lamang sa mga pagbag-o nga may kalabutan sa pagwagtang sa seryoso nga mga sayup ug mga kahuyangan. Ang mga pag-update nag-ayo sa usa ka kahuyang (CVE-2025-23419) nga nagtugot sa pag-bypass sa pag-verify sa mga sertipiko sa TLS sa kliyente.
Ang kahuyangan gipahinabo sa kakulang sa hustong pag-validate sa pagdumala sa mga virtual host nga naka-bound sa usa ka IP address ug port number, ug gipili atol sa HTTPS access base sa domain name nga gitino gamit ang SNI TLS extension. Sa ingon nga mga configuration, ang usa ka tig-atake mahimong mogamit pag-usab sa usa ka TLS session sa konteksto sa usa ka lahi nga virtual host aron malaktawan ang authentication gamit ang TLS certificate sa kliyente. Ang isyu makita sa mga configuration nga nagsuporta sa pagpadayon sa TLS session gamit ang "TLS session ticket" o nga naggamit og TLS session cache sa mga setting. server pinaagi sa default, nga naggamit og authentication pinaagi sa client TLS certificates. Ang kahuyangan anaa na sukad sa pagpagawas sa nginx 1.11.4 sa dihang gihimo kini gamit ang OpenSSL ug gipagana ang TLSv1.3 protocol.
Mga pagbag-o nga walaβy kalabotan sa seguridad:
- Gidugang nga mga kapabilidad aron makunhuran ang pagkonsumo sa kapanguhaan ug pagkarga sa CPU kung gigamit ang TLS sa mga pag-configure nga adunay daghang mga bloke sa server ug lokasyon. Gitugotan sa dugang nga mga pagbag-o, imbis nga maghimo usa ka bulag nga konteksto sa SSL (SSL_CTX sa OpenSSL) alang sa matag bloke sa pag-configure, nga magamit ang naglungtad nga konteksto sa SSL gikan sa bloke sa ginikanan.
- Giayo ang mga isyu sa taas nga pagkarga sa mga configuration file tungod sa balik-balik nga pag-parse sa parehas nga set Mga sertipiko sa TLS, mga yawe, ug mga lista sa mga awtoridad sa sertipikasyon. Ang mga pag-reload sa konpigurasyon gipadali pinaagi sa paggamit pag-usab sa wala mausab nga mga butang sa TLS, sama sa mga sertipiko, yawe, ug mga CRL. Ang direktiba nga "ssl_object_cache_inheritable" gidugang aron ma-disable ang pagpanag-iya sa butang atol sa mga pag-update sa konpigurasyon.
- Gidugang nga cache alang sa mga sertipiko ug mga yawe nga gikarga gamit ang mga variable sa mga direktiba (e.g. "ssl_certificate /etc/ssl/$ssl_server_name.crt"). Ang mga direktiba nga "ssl_certificate_cache", "proxy_ssl_certificate_cache", "grpc_ssl_certificate_cache" ug "uwsgi_ssl_certificate_cache" gidugang aron madumala ang cache. Ang espesipikong mga direktiba nagtugot kanimo sa pag-configure sa pinakataas nga gidak-on sa cache, ang validity period sa mga rekord, ug ang panahon sa paglimpyo sa wala magamit nga mga rekord. Pananglitan: "ssl_certificate_cache max=1000 inactive=20s balido=1m;".
- Gidugang ang "keepalive_min_timeout" nga direktiba, nga naghubit sa timeout diin ang nginx dili magsira sa keep-alive nga koneksyon sa kliyente.
- Ang problema sa dagway sa mga mensahe sa log nga "gzip filter napakyas sa paggamit sa preallocated memory" kung ang pagtukod gamit ang zlib-ng library nasulbad na.
- Giayo ang usa ka problema sa pagtukod sa libatomic library kung gigamit ang kapilian sa pagtukod nga "--with-libatomic=DIR"
- Giayo ang usa ka bug nga naghimo nga imposible ang paghimo og koneksyon pinaagi sa QUIC protocol kung gigamit ang 0-RTT.
- Gisiguro nga ang QUIC nga bersyon sa negosasyon nga mga hangyo gikan sa mga kliyente wala tagda.
- Nasulbad ang mga problema sa pagtukod sa Solaris 10 gamit ang ngx_http_v3_module module.
- Ang mga bug sa pagpatuman sa HTTP/3 naayo na.
Source: opennet.ru
