U ramu principalu di nginx 1.27.4 hè statu liberatu, in u quale sò sviluppati novi funziunalità, è ancu u ramu stabile parallelu di nginx 1.26.3, chì cuntene solu cambiamenti in relazione à l'eliminazione di errori serii è vulnerabili. L'aghjurnamenti riparanu una vulnerabilità (CVE-2025-23419) chì permette di passà a verificazione di i certificati TLS di u cliente.
A vulnerabilità hè causata da una mancanza di validazione adatta quandu si gestiscenu host virtuali ligati à un unicu indirizzu IP è numeru di portu, è selezziunati durante l'accessu HTTPS basatu annantu à u nome di duminiu specificatu cù l'estensione SNI TLS. In tali cunfigurazioni, un attaccante puderia riutilizà una sessione TLS in u cuntestu di un host virtuale differente per bypassà l'autenticazione cù u certificatu TLS di u cliente. U prublema si manifesta in cunfigurazioni chì supportanu a ripresa di a sessione TLS cù un "bigliettu di sessione TLS" o chì utilizanu una cache di sessione TLS in i paràmetri. servitore per difettu, chì usa l'autentificazione via certificati TLS di u cliente. A vulnerabilità hè stata presente dapoi a versione nginx 1.11.4 quandu hè stata custruita cù OpenSSL è abilitava u protocolu TLSv1.3.
Cambiamenti chì ùn sò micca di sicurità:
- Capacità aghjunte per riduce u cunsumu di risorse è a carica di CPU quandu si usa TLS in cunfigurazioni cù un gran numaru di blocchi di servitore è locu. I cambiamenti aghjunti permettenu, invece di creà un cuntestu SSL separatu (SSL_CTX in OpenSSL) per ogni bloccu di cunfigurazione, per utilizà u cuntestu SSL esistente da u bloccu parent.
- Prublemi risolti cù u caricamentu longu di i fugliali di cunfigurazione per via di l'analisi ripetuta di u listessu inseme Certificati TLS, chjave è liste di autorità di certificazione. I ricarichi di cunfigurazione sò stati accelerati riutilizendu l'uggetti TLS invariati, cum'è certificati, chjave è CRL. A direttiva "ssl_object_cache_inheritable" hè stata aghjunta per disattivà l'eredità di l'uggetti durante l'aghjurnamenti di cunfigurazione.
- Aggiunta cache per i certificati è e chjave caricate cù variàbili in direttive (per esempiu "ssl_certificate /etc/ssl/$ssl_server_name.crt"). E direttive "ssl_certificate_cache", "proxy_ssl_certificate_cache", "grpc_ssl_certificate_cache" è "uwsgi_ssl_certificate_cache" sò state aghjunte per gestisce a cache. I direttivi specificati permettenu di cunfigurà a dimensione massima di cache, u periodu di validità di i registri, è u tempu per a pulizia di i registri inutilizati. Per esempiu: "ssl_certificate_cache max=1000 inactive=20s valid=1m;".
- Aggiunta a direttiva "keepalive_min_timeout", chì definisce u timeout durante u quale nginx ùn chjuderà a cunnessione di mantene a vita cù u cliente.
- U prublema cù l'apparizione di i missaghji di log "filtru gzip hà fiascatu à utilizà a memoria preallocata" quandu custruisce cù a biblioteca zlib-ng hè stata risolta.
- Fixatu un prublema cù a custruzione di a biblioteca libatomica quandu si usa l'opzione di creazione "--with-libatomic=DIR"
- Fixed un bug chì facia impussibule di stabilisce una cunnessione via u protocolu QUIC quandu si usa 0-RTT.
- Assicuratevi chì e richieste di negoziazione di a versione QUIC da i clienti sò ignorate.
- I prublemi risolti cù a custruzzione nantu à Solaris 10 cù u modulu ngx_http_v3_module.
- L'errori in l'implementazione HTTP/3 sò stati corretti.
Source: opennet.ru
