La branche principale de nginx 1.25.4 a été publiée, au sein de laquelle le développement de nouvelles fonctionnalités se poursuit. La branche stable 1.24.x maintenue en parallèle ne contient que des modifications liées à l'élimination de bugs et de vulnérabilités graves. À l'avenir, sur la base de la branche principale 1.25.x, une branche stable 1.26 sera formée. Le code du projet est écrit en C et distribué sous licence BSD.
La nouvelle version corrige deux vulnérabilités dans le module expérimental http_v3_module (désactivé par défaut), qui prend en charge le protocole HTTP/3, qui utilise le protocole QUIC comme transport pour HTTP/2. La première vulnérabilité (CVE-2024-24989) est causée par un déréférencement de pointeur nul, et la seconde (CVE-2024-24990) est causée par un accès mémoire après libération (CVE-2024-24990). Le journal des modifications indique que les deux vulnérabilités ne peuvent conduire à un crash que lors du traitement de sessions QUIC spécialement conçues, mais la deuxième vulnérabilité ne semble pas avoir été analysée pour des conséquences plus graves.
En plus de corriger les vulnérabilités, la nouvelle version inclut également des améliorations générales et des correctifs pour l'implémentation HTTP/3, et corrige des bugs liés aux fuites de socket, aux erreurs de socket ou aux plantages lors de l'utilisation d'AIO. Résolution d'un problème de fermeture prématurée des connexions avec les opérations AIO en attente lors de l'arrêt progressif des anciens processus de travail. Correction d'un crash lors de la redirection des erreurs avec le code 415 à l'aide de la directive error_page lors de l'utilisation du proxy SSL et de la directive image_filter.
De plus, il y a quelques jours, njs 0.8.4, un interpréteur JavaScript pour le serveur web nginx, a été publié. L'interpréteur njs implémente les normes ECMAScript et vous permet d'étendre la capacité de nginx à traiter les requêtes à l'aide de scripts dans la configuration. Les scripts peuvent être utilisés dans un fichier de configuration pour définir une logique avancée pour traiter les demandes, générer une configuration, générer dynamiquement une réponse, modifier une demande/réponse ou créer rapidement des stubs pour résoudre des problèmes dans les applications Web. La nouvelle version ne contient que des corrections de bugs.
Source: opennet.ru