Déi éischt Verëffentlechung vun der neier Haaptzweig vun nginx 1.27.0 gouf presentéiert, an deem d'Entwécklung vun neie Feature weider geet. Zur selwechter Zäit gouf nginx 1.26.1 verëffentlecht, deen zu der parallel ënnerstëtzt stabiler Branche gehéiert, déi nëmmen Ännerungen am Zesummenhang mat der Eliminatioun vu schlëmme Feeler a Schwachstelle enthält. Nächst Joer, baséiert op der Haaptzweig 1.27.x, gëtt eng stabil Branche 1.28 geformt. De Projet Code ass an C geschriwwen an ënner der BSD Lizenz verdeelt.
Déi nei Verëffentlechungen fixéieren 4 Schwachstelle, déi den experimentellen ngx_http_v3 Modul beaflossen (default behënnert), deen Ënnerstëtzung fir den HTTP/3 Protokoll mam QUIC Protokoll als Transport fir HTTP/2 ubitt. Probleemer erschéngen nëmme wann de ngx_http_v3_module Modul aktivéiert ass an d'"schnell" Optioun ass an der "lauschteren" Direktiv gesat. Et gëtt nach kee Wuert iwwer d'Schwachheet vun den Angie a FreeNginx Gabel.
D'CVE-2024-34161 Schwachstelle bewierkt datt d'Aarbechterprozess Memory op Systemer mat engem MTU Wäert méi wéi 4096 Bytes leeft. Eng Erënnerung Leck geschitt wann CRYPTO Rummen benotzt an Verbindung Verhandlunge geschéckt ginn no de Client der Finale Message schéckt.
D'CVE-2024-31079, CVE-2024-32760, an CVE-2024-35200 Gedächtnis Korruptioun Schwachstelle erlaben engem Remote Angreifer engem nginx Aarbechter Prozess Crash duerch eng speziell gemaach Sëtzung baséiert op der QUIC Protokoll etabléiert. Zur selwechter Zäit, fir Schwachstelle CVE-2024-31079 an CVE-2024-32760, kënnen aner Konsequenze vum Attack net ausgeschloss ginn (d'potenziell Méiglechkeet fir de Code vum Ugräifer auszeféieren?). Detailer ginn net uginn, awer no de Korrekturen am Code beurteelen, sinn d'Schwieregkeeten verursaacht duerch Zougang zu scho befreit Gedächtnis (Notzung-after-gratis), falsch Erënnerungsallokatioun fir eng Array, Null Pointer Dereferenz a Mangel u korrekt Iwwerpréiwung vun der Gréisst vun Daten am Puffer gesat.
Ënnert den Ännerungen net am Zesummenhang mat der Eliminatioun vu Schwachstelle am nginx 1.27.0:
- Ënnerstëtzung fir Variabelen ze spezifizéieren gouf an den "proxy_limit_rate", "fastcgi_limit_rate", "scgi_limit_rate" an "uwsgi_limit_rate" Direktiven bäigefüügt.
- Reduzéiert Erënnerungsverbrauch beim Veraarbechtung vun laangliewege Ufroen a Konfiguratiounen déi d'"gzip", "gunzip", "ssi", "sub_filter" oder "grpc_pass" Direktiven benotzen.
- Geléist Probleemer mam Reset am GCC 14 wann Dir d'Optioun "--mat-atomesch" benotzt.
- Feeler an der HTTP/3 Implementatioun goufen fixéiert.
Zousätzlech kënne mir d'Publikatioun vun der neier Haaptzweig vu FreeNginx 1.27.0 notéieren, eng Gabel vun Nginx entwéckelt vum Maxim Dunin, ee vun de Schlësselentwéckler vun Nginx. FreeNginx ass als non-profit Projet positionéiert deen d'Entwécklung vun der Nginx Code Basis ouni Firmeninterventioun ubitt. Déi nei Versioun huet d'Fehlerhandhabung verbessert beim Liesen vum Ufrokierper, verbessert Versammlung am NetBSD 10.0, a verbessert Schreiwen vu PID Dateien (de "Off" Parameter gouf an d'Pid Direktiv bäigefüügt).
Source: opennet.ru
