Po roce vývoje projekt Nginx oznámil vydání nové stabilní verze 1.30.0. Během přípravy této stabilní verze bylo opraveno šest zranitelností, z nichž čtyři se týkaly modulu pro zpracování mediálních souborů a ověřovacích protokolů. Klíčovou změnou byla podpora protokolů HTTP/3 a QUIC, která je nyní považována za připravenou pro produkční prostředí.
Opravené chyby zabezpečení:
- CVE-2026-27654: Přetečení vyrovnávací paměti při zpracování požadavků COPY nebo MOVE v umístění s direktivou alias by mohlo útočníkovi umožnit opuštění kořenového adresáře webu.
- CVE-2026-27784: Speciálně vytvořený soubor MP4 může způsobit pád na 32bitových platformách.
- CVE-2026-27651: V pracovním postupu došlo k chybě segmentace při použití metod ověřování CRAM-MD5 nebo APOP s povoleným opakováním ověřování.
- CVE-2026-28753: Použití DNS záznamů PTR k vkládání dat do požadavků auth_http a příkazu XCLIENT v backendovém SMTP připojení.
- CVE-2026-28755: Úspěšné dokončení SSL-handshakes, a to i přes odmítnutí klientského certifikátu protokolem OCSP kontrolujícím modul stream.
Další významné inovace:
- První tipy pro HTTP (103): Server může odesílat provizorní hlavičky, aniž by čekal, až backend plně vygeneruje odpověď, což urychluje načítání stránky.
- Šifrovaný ClientHello (ECH): Funkce ochrany osobních údajů TLS, která skrývá název požadovaného webu před pozorovateli sítě.
- Rychlé relace: Sticky direktiva v upstream bloku zajišťuje, že klientské relace jsou „propojeny“ s konkrétním server backendu.
- Vícecestný TCP (MPTCP): Podpora parametru multipath v direktivě listen pro zlepšení odolnosti proti chybám a propustnosti na transportní vrstvě.
- Udržování při životě: Výchozí hodnota proxy_http_version byla změněna na 1.1 a proxy již neodesílá hlavičku Connection.server, což zlepšuje opětovné použití připojení.
- OpenSSL 4.0: Byla zajištěna kompatibilita s připravovanou hlavní verzí kryptografické knihovny.
- geo-modul: Direktiva include uvnitř bloku geo nyní podporuje zástupné znaky.
Zdroj: linux.org.ru
