Hovedgrenen af nginx 1.27.1 er blevet frigivet, inden for hvilken udviklingen af nye funktioner fortsætter, samt udgivelsen af den parallelt understøttede stabile gren af nginx 1.22.1, som kun inkluderer ændringer relateret til eliminering af alvorlige fejl og sårbarheder. Opdateringerne løser en sårbarhed (CVE-2024-7347) i ngx_http_mp4_module-modulet, som fører til en unormal afbrydelse af arbejdsgangen ved behandling af en specielt formateret MP4-fil. Problemet opstår fra release 1.5.13, når man bygger nginx med ngx_http_mp4_module-modulet (ikke bygget som standard) og bruger mp4-direktivet i indstillingerne. For at rette op på sårbarheden i ældre versioner kan du bruge en patch.
Ud over sårbarheden rettede nginx 1.27.1-udgivelsen også fejl i implementeringen af HTTP/3-protokollen, flyttede handleren i streammodulet til kategorien valgfri og løste problemet med at ignorere nye HTTP/2-forbindelser, når arbejdsprocesser afsluttes problemfrit.
Kilde: opennet.ru
