Została wydana główna gałąź nginx 1.27.1, w ramach której kontynuowany jest rozwój nowych funkcji, a także wydanie równoległej obsługiwanej stabilnej gałęzi nginx 1.22.1, która zawiera jedynie zmiany związane z eliminacją poważnych błędów i luki w zabezpieczeniach. Aktualizacje usuwają lukę (CVE-2024-7347) w module ngx_http_mp4_module, która powoduje nieprawidłowe zakończenie przepływu pracy podczas przetwarzania specjalnie sformatowanego pliku MP4. Problem pojawia się począwszy od wersji 1.5.13 podczas budowania nginxa z modułem ngx_http_mp4_module (domyślnie nie zbudowanym) i używania dyrektywy mp4 w ustawieniach. Aby naprawić lukę w starszych wersjach, możesz użyć łatki.
Oprócz luki, w wydaniu nginx 1.27.1 naprawiono także błędy w implementacji protokołu HTTP/3, przeniesiono procedurę obsługi w module strumieniowym do kategorii opcjonalnej oraz rozwiązano problem ignorowania nowych połączeń HTTP/2 podczas procesy robocze kończą się płynnie.
Źródło: opennet.ru
