nginx 1.25.4 ၏ ပင်မအကိုင်းအခက်ကို ထုတ်ဝေခဲ့ပြီး၊ အင်္ဂါရပ်အသစ်များ ဆက်လက်ဖြစ်ထွန်းလာခဲ့သည်။ အပြိုင်ထိန်းသိမ်းထားသော တည်ငြိမ်သောဌာနခွဲ 1.24.x တွင် ပြင်းထန်သော ချို့ယွင်းချက်များနှင့် အားနည်းချက်များကို ဖယ်ရှားခြင်းဆိုင်ရာ အပြောင်းအလဲများသာ ပါဝင်ပါသည်။ အနာဂတ်တွင်၊ ပင်မဌာနခွဲ 1.25.x ကိုအခြေခံ၍ တည်ငြိမ်သောဌာနခွဲ 1.26 ကို ဖွဲ့စည်းပါမည်။ ပရောဂျက်ကုဒ်ကို C ဖြင့်ရေးသားထားပြီး BSD လိုင်စင်အောက်တွင် ဖြန့်ဝေထားသည်။
В новой версии устранены две уязвимости в экспериментальном модуле http_v3_module (отключён по умолчанию), обеспечивающем поддержку протокола HTTP/3, использующего протокол QUIC в качестве транспорта для HTTP/2. Первая уязвимость (CVE-2024-24989) вызвана разыменованием нулевого указателя, а вторая (CVE-2024-24990) обращением к памяти после её освобождения (CVE-2024-24990). В списке изменений утверждается, что обе уязвимости могут привести лишь к аварийному завершению рабочего процесса при обработке специально оформленных сеансов QUIC, но для второй уязвимости судя по всему анализ более серьёзных последствий не проводился.
Помимо устранения уязвимостей в новой версии также внесены общие улучшения и исправления в реализацию HTTP/3, а также устранены ошибки, связанные с утечкой сокетов, ошибками сокетов или аварийным завершением при использовании AIO. Решена проблема с преждевременным закрытием соединений с незавершенными AIO-операциями во время мягкого завершения старых рабочих процессов. Устранено аварийное завершение при перенаправлении ошибок с кодом 415 при помощи директивы error_page, в случае использования SSL-проксирования и директивы image_filter.
Кроме того, несколько дней назад состоялся выпуск njs 0.8.4, интерпретатора языка JavaScript для веб-сервера nginx. Интерпретатор njs реализует стандарты ECMAScript и позволяет расширять возможности nginx по обработке запросов с помощью скриптов в конфигурации. Скрипты могут использоваться в файле конфигурации для определения расширенной логики обработки запросов, формирования конфигурации, динамической генерации ответа, модификации запроса/ответа или быстрого создания заглушек с решением проблем в web-приложениях. В новой версии отмечено только исправление ошибок.
source: opennet.ru