La branche principale de nginx 1.25.4 a été publiée, au sein de laquelle le développement de nouvelles fonctionnalités se poursuit. La branche stable 1.24.x maintenue en parallèle ne contient que des modifications liées à l'élimination de bugs et de vulnérabilités graves. À l'avenir, sur la base de la branche principale 1.25.x, une branche stable 1.26 sera formée. Le code du projet est écrit en C et distribué sous licence BSD.
La nouvelle version corrige deux vulnérabilités du module expérimental http_v3_module (désactivé par défaut), qui prend en charge le protocole HTTP/3 utilisant QUIC comme protocole de transport pour HTTP/2. La première vulnérabilité (CVE-2024-24989) est due à un déréférencement de pointeur NULL, et la seconde (CVE-2024-24990) à une utilisation de mémoire libérée. Le journal des modifications indique que ces deux vulnérabilités ne peuvent provoquer un plantage que lors de la gestion de sessions QUIC spécialement conçues, mais il semble que les conséquences plus graves de la seconde n'aient pas été analysées.
Outre la correction de vulnérabilités, cette nouvelle version inclut des améliorations générales et des correctifs pour l'implémentation HTTP/3, ainsi que des corrections pour les fuites de sockets, les erreurs de sockets et les plantages lors de l'utilisation d'AIO. Un problème de fermeture prématurée des connexions avec des opérations AIO inachevées lors de l'arrêt propre des processus de travail hérités a été résolu. Un plantage lors de la redirection des erreurs 415 à l'aide de la directive `error_page` a été corrigé. SSL-directives de proxy et de filtrage d'image.
Il y a quelques jours également, njs 0.8.4, un interpréteur JavaScript pour serveur Web L'interpréteur njs de nginx implémente les standards ECMAScript et permet d'étendre ses capacités de traitement des requêtes grâce à des scripts de configuration. Ces scripts peuvent être utilisés dans le fichier de configuration pour définir une logique de traitement avancée des requêtes, générer des configurations, générer des réponses dynamiquement, modifier les requêtes et les réponses, ou encore créer rapidement des stubs pour résoudre des problèmes dans les applications web. Cette nouvelle version contient uniquement des corrections de bogues.
Source: opennet.ru
