Bola vydaná hlavná vetva nginx 1.25.4, v rámci ktorej pokračuje vývoj nových funkcií. Paralelne udržiavaná stabilná vetva 1.24.x obsahuje iba zmeny súvisiace s odstránením závažných chýb a zraniteľností. V budúcnosti sa na základe hlavnej vetvy 1.25.x vytvorí stabilná vetva 1.26. Kód projektu je napísaný v jazyku C a distribuovaný pod licenciou BSD.
Nová verzia opravuje dve zraniteľnosti v experimentálnom module http_v3_module (štandardne vypnutý), ktorý poskytuje podporu pre protokol HTTP/3, ktorý používa protokol QUIC ako transport pre HTTP/2. Prvá chyba zabezpečenia (CVE-2024-24989) je spôsobená dereferenciou nulového ukazovateľa a druhá (CVE-2024-24990) je spôsobená prístupom k pamäti po uvoľnení (CVE-2024-24990). V protokole zmien sa uvádza, že obe zraniteľnosti môžu viesť k zlyhaniu iba pri spracovaní špeciálne navrhnutých relácií QUIC, ale zdá sa, že druhá zraniteľnosť nebola analyzovaná na závažnejšie následky.
Okrem opravy zraniteľností nová verzia obsahuje aj všeobecné vylepšenia a opravy implementácie HTTP/3, ako aj opravy únikov soketov, chýb soketov a pádov pri používaní AIO. Bol vyriešený problém s predčasným ukončením pripojení s nedokončenými operáciami AIO počas plynulého ukončenia starších pracovných procesov. Bola opravená aj chyba pri presmerovaní chýb 415 pomocou direktívy error_page pri použití... SSLDirektívy -proxying a image_filter.
Tiež pred pár dňami, njs 0.8.4, interpret JavaScriptu pre webový server nginx. Interpret njs implementuje štandardy ECMAScript a umožňuje rozšíriť možnosti spracovania požiadaviek nginx pomocou konfiguračných skriptov. Skripty je možné použiť v konfiguračnom súbore na definovanie pokročilej logiky spracovania požiadaviek, generovanie konfigurácií, dynamické generovanie odpovedí, úpravu požiadaviek/odpovedí alebo rýchle vytváranie stubov na riešenie problémov vo webových aplikáciách. Nová verzia obsahuje iba opravy chýb.
Zdroj: opennet.ru
