Została wydana główna gałąź Nginx 1.25.4, w ramach której kontynuowany jest rozwój nowych funkcji. Równolegle utrzymywana stabilna gałąź 1.24.x zawiera jedynie zmiany związane z eliminacją poważnych błędów i luk. W przyszłości, w oparciu o główną gałąź 1.25.x, powstanie stabilna gałąź 1.26. Kod projektu napisany jest w języku C i rozpowszechniany na licencji BSD.
Nowa wersja naprawia dwie luki w eksperymentalnym module http_v3_module (domyślnie wyłączonym), który zapewnia obsługę protokołu HTTP/3, który wykorzystuje protokół QUIC jako transport dla HTTP/2. Pierwsza luka (CVE-2024-24989) jest spowodowana wyłuskaniem wskaźnika zerowego, a druga (CVE-2024-24990) jest spowodowana dostępem do pamięci po jej zwolnieniu (CVE-2024-24990). Z dziennika zmian wynika, że obie luki mogą doprowadzić jedynie do awarii podczas przetwarzania specjalnie zaprojektowanych sesji QUIC, ale wydaje się, że druga luka nie została przeanalizowana pod kątem poważniejszych konsekwencji.
Oprócz usunięcia luk nowa wersja zawiera także ogólne ulepszenia i poprawki implementacji HTTP/3 oraz naprawia błędy związane z wyciekami z gniazd, błędami gniazd lub awariami podczas korzystania z AIO. Rozwiązano problem polegający na przedwczesnym zamykaniu połączeń z oczekującymi operacjami AIO podczas miękkiego zamykania starych procesów roboczych. Naprawiono awarię podczas przekierowywania błędów z kodem 415 przy użyciu dyrektywy error_page podczas korzystania z proxy SSL i dyrektywy image_filter.
Ponadto kilka dni temu wydano njs 0.8.4, interpreter JavaScript dla serwera WWW Nginx. Interpreter njs implementuje standardy ECMAScript i pozwala rozszerzyć możliwości nginx w zakresie przetwarzania żądań za pomocą skryptów w konfiguracji. Skrypty mogą być użyte w pliku konfiguracyjnym do zdefiniowania zaawansowanej logiki przetwarzania żądań, generowania konfiguracji, dynamicznego generowania odpowiedzi, modyfikowania żądania/odpowiedzi lub szybkiego tworzenia kodów pośredniczących w celu rozwiązywania problemów w aplikacjach internetowych. Nowa wersja zawiera jedynie poprawki błędów.
Źródło: opennet.ru