Թողարկվել է nginx 1.25.4-ի հիմնական մասնաճյուղը, որի շրջանակներում շարունակվում է նոր հնարավորությունների զարգացումը։ Զուգահեռաբար պահպանվող կայուն ճյուղը 1.24.x պարունակում է միայն փոփոխություններ՝ կապված լուրջ վրիպակների և խոցելիության վերացման հետ: Հետագայում, հիմնվելով հիմնական ճյուղի 1.25.x-ի վրա, կձևավորվի կայուն ճյուղ 1.26: Ծրագրի կոդը գրված է C-ով և տարածվում է BSD լիցենզիայի ներքո:
В новой версии устранены две уязвимости в экспериментальном модуле http_v3_module (отключён по умолчанию), обеспечивающем поддержку протокола HTTP/3, использующего протокол QUIC в качестве транспорта для HTTP/2. Первая уязвимость (CVE-2024-24989) вызвана разыменованием нулевого указателя, а вторая (CVE-2024-24990) обращением к памяти после её освобождения (CVE-2024-24990). В списке изменений утверждается, что обе уязвимости могут привести лишь к аварийному завершению рабочего процесса при обработке специально оформленных сеансов QUIC, но для второй уязвимости судя по всему анализ более серьёзных последствий не проводился.
Помимо устранения уязвимостей в новой версии также внесены общие улучшения и исправления в реализацию HTTP/3, а также устранены ошибки, связанные с утечкой сокетов, ошибками сокетов или аварийным завершением при использовании AIO. Решена проблема с преждевременным закрытием соединений с незавершенными AIO-операциями во время мягкого завершения старых рабочих процессов. Устранено аварийное завершение при перенаправлении ошибок с кодом 415 при помощи директивы error_page, в случае использования SSL-проксирования и директивы image_filter.
Кроме того, несколько дней назад состоялся выпуск njs 0.8.4, интерпретатора языка JavaScript для веб-сервера nginx. Интерпретатор njs реализует стандарты ECMAScript и позволяет расширять возможности nginx по обработке запросов с помощью скриптов в конфигурации. Скрипты могут использоваться в файле конфигурации для определения расширенной логики обработки запросов, формирования конфигурации, динамической генерации ответа, модификации запроса/ответа или быстрого создания заглушек с решением проблем в web-приложениях. В новой версии отмечено только исправление ошибок.
Source: opennet.ru