De belangrijkste nginx-branch, versie 1.31.2, is uitgebracht en zet de ontwikkeling van nieuwe functies voort. De parallelle stabiele branch, nginx 1.30.3, wordt ook uitgebracht en bevat alleen wijzigingen die betrekking hebben op het oplossen van ernstige bugs en kwetsbaarheden. Deze updates verhelpen drie kwetsbaarheden:
- CVE-2026-42530 is een use-after-free-kwetsbaarheid in de HTTP/3-protocolimplementatie. Aan dit probleem is een kritiek ernstniveau (9.2 van de 10) toegekend, wat het uitvoeren van code op afstand met workerprocesrechten bij het afhandelen van een speciaal geconstrueerde QUIC-sessie niet uitsluit.
- CVE-2026-42055 is een bufferoverloop in de modules ngx_http_proxy_v2_module en ngx_http_grpc_module, die optreedt bij het proxyen van speciaal geconstrueerde verzoeken via het HTTP/2-protocol of naar de gRPC-backend. Het probleem wordt beoordeeld als kritiek (9.2 van de 10) en maakt uitvoering van code op afstand mogelijk. De kwetsbaarheid manifesteert zich in configuraties met de instelling
"ignore_invalid_headers off;" en een grotere waarde voor "large_client_header_buffers". - CVE-2026-48142 — Er treedt een leesfout buiten de toegestane geheugenlimieten op bij het verwerken van speciaal geconstrueerde verzoeken die resulteren in UTF-8-tekstcodering met behulp van de ngx_http_charset_module-module. De kwetsbaarheid treedt op in configuraties met de "charset_map"-richtlijn wanneer de richtlijnen "source_charset utf-8" en "charset other_charset" aanwezig zijn in het location-blok. Dit probleem wordt beoordeeld als matig ernstig (6.3 van de 10), wat een geheugenlek in het workerproces mogelijk maakt.
Naast het verhelpen van beveiligingslekken voegt nginx 1.31.2 de variabele $ssl_sigalgs toe, die de digitale handtekeningalgoritmen bevat die door de client in het ClientHello-bericht tijdens de TLS-verbindingsonderhandeling zijn gedeclareerd. Het SipHash-2-4-hashalgoritme wordt gebruikt om de identifier te genereren die via de variabele $request_id wordt doorgegeven.
Bron: opennet.ru
