Se ha lanzado la rama principal de nginx 1.25.4, dentro de la cual continúa el desarrollo de nuevas funciones. La rama estable mantenida en paralelo 1.24.x contiene solo cambios relacionados con la eliminación de errores y vulnerabilidades graves. En el futuro, se formará una rama estable 1.25 basada en la rama principal 1.26.x. El código del proyecto está escrito en C y distribuido bajo la licencia BSD.
La nueva versión corrige dos vulnerabilidades en el módulo experimental http_v3_module (deshabilitado de forma predeterminada), que brinda soporte para el protocolo HTTP/3, que utiliza el protocolo QUIC como transporte para HTTP/2. La primera vulnerabilidad (CVE-2024-24989) es causada por una desreferencia de puntero nulo, y la segunda (CVE-2024-24990) es causada por el acceso a la memoria después de la liberación (CVE-2024-24990). El registro de cambios indica que ambas vulnerabilidades sólo pueden provocar un bloqueo cuando se procesan sesiones QUIC especialmente diseñadas, pero la segunda vulnerabilidad no parece haber sido analizada para detectar consecuencias más graves.
Además de abordar las vulnerabilidades, la nueva versión también incluye mejoras generales y correcciones para la implementación de HTTP/3, y corrige errores relacionados con fugas de sockets, errores de sockets o fallas al usar AIO. Se resolvió un problema por el cual las conexiones con operaciones AIO pendientes se cerraban prematuramente durante el cierre temporal de procesos de trabajo antiguos. Se corrigió un bloqueo al redirigir errores con el código 415 usando la directiva error_page al usar proxy SSL y la directiva image_filter.
Además, hace unos días se lanzó njs 0.8.4, un intérprete de JavaScript para el servidor web nginx. El intérprete njs implementa los estándares ECMAScript y le permite ampliar la capacidad de nginx para procesar solicitudes utilizando scripts en la configuración. Los scripts se pueden utilizar en un archivo de configuración para definir una lógica avanzada para procesar solicitudes, generar una configuración, generar dinámicamente una respuesta, modificar una solicitud/respuesta o crear rápidamente apéndices para resolver problemas en aplicaciones web. La nueva versión sólo contiene correcciones de errores.
Fuente: opennet.ru