Aðalgrein nginx 1.25.4 hefur verið gefin út, þar sem þróun nýrra eiginleika heldur áfram. Samhliða viðhaldið stöðugu grein 1.24.x inniheldur aðeins breytingar sem tengjast útrýmingu alvarlegra galla og veikleika. Í framtíðinni, byggt á aðalgrein 1.25.x, verður stöðug grein 1.26 mynduð. Verkefniskóðinn er skrifaður í C og dreift undir BSD leyfinu.
В новой версии устранены две уязвимости в экспериментальном модуле http_v3_module (отключён по умолчанию), обеспечивающем поддержку протокола HTTP/3, использующего протокол QUIC в качестве транспорта для HTTP/2. Первая уязвимость (CVE-2024-24989) вызвана разыменованием нулевого указателя, а вторая (CVE-2024-24990) обращением к памяти после её освобождения (CVE-2024-24990). В списке изменений утверждается, что обе уязвимости могут привести лишь к аварийному завершению рабочего процесса при обработке специально оформленных сеансов QUIC, но для второй уязвимости судя по всему анализ более серьёзных последствий не проводился.
Помимо устранения уязвимостей в новой версии также внесены общие улучшения и исправления в реализацию HTTP/3, а также устранены ошибки, связанные с утечкой сокетов, ошибками сокетов или аварийным завершением при использовании AIO. Решена проблема с преждевременным закрытием соединений с незавершенными AIO-операциями во время мягкого завершения старых рабочих процессов. Устранено аварийное завершение при перенаправлении ошибок с кодом 415 при помощи директивы error_page, в случае использования SSL-проксирования и директивы image_filter.
Кроме того, несколько дней назад состоялся выпуск njs 0.8.4, интерпретатора языка JavaScript для веб-сервера nginx. Интерпретатор njs реализует стандарты ECMAScript и позволяет расширять возможности nginx по обработке запросов с помощью скриптов в конфигурации. Скрипты могут использоваться в файле конфигурации для определения расширенной логики обработки запросов, формирования конфигурации, динамической генерации ответа, модификации запроса/ответа или быстрого создания заглушек с решением проблем в web-приложениях. В новой версии отмечено только исправление ошибок.
Heimild: opennet.ru