De hoofdtak van nginx 1.27.1 is vrijgegeven, waarbinnen de ontwikkeling van nieuwe functies doorgaat, evenals de release van de parallel ondersteunde stabiele tak van nginx 1.22.1, die alleen wijzigingen bevat die verband houden met het elimineren van ernstige fouten en kwetsbaarheden. De updates verhelpen een kwetsbaarheid (CVE-2024-7347) in de ngx_http_mp4_module-module, die leidt tot een abnormale beëindiging van de workflow bij het verwerken van een speciaal geformatteerd MP4-bestand. Het probleem doet zich voor vanaf release 1.5.13 bij het bouwen van nginx met de ngx_http_mp4_module module (niet standaard gebouwd) en het gebruik van de mp4-instructie in de instellingen. Om de kwetsbaarheid in oudere versies te verhelpen, kunt u een patch gebruiken.
Naast de kwetsbaarheid repareerde de nginx 1.27.1-release ook fouten in de implementatie van het HTTP/3-protocol, verplaatste de handler in de streammodule naar de categorie optioneel en loste het probleem op met het negeren van nieuwe HTTP/2-verbindingen wanneer werkprocessen eindigen soepel.
Bron: opennet.ru
