nginx 1.25.4 இன் முக்கிய கிளை வெளியிடப்பட்டது, அதற்குள் புதிய அம்சங்களின் வளர்ச்சி தொடர்கிறது. இணையாக பராமரிக்கப்படும் நிலையான கிளை 1.24.x தீவிர பிழைகள் மற்றும் பாதிப்புகளை நீக்குவது தொடர்பான மாற்றங்களை மட்டுமே கொண்டுள்ளது. எதிர்காலத்தில், பிரதான கிளை 1.25.x ஐ அடிப்படையாகக் கொண்டு, ஒரு நிலையான கிளை 1.26 உருவாக்கப்படும். திட்டக் குறியீடு C இல் எழுதப்பட்டு BSD உரிமத்தின் கீழ் விநியோகிக்கப்படுகிறது.
В новой версии устранены две уязвимости в экспериментальном модуле http_v3_module (отключён по умолчанию), обеспечивающем поддержку протокола HTTP/3, использующего протокол QUIC в качестве транспорта для HTTP/2. Первая уязвимость (CVE-2024-24989) вызвана разыменованием нулевого указателя, а вторая (CVE-2024-24990) обращением к памяти после её освобождения (CVE-2024-24990). В списке изменений утверждается, что обе уязвимости могут привести лишь к аварийному завершению рабочего процесса при обработке специально оформленных сеансов QUIC, но для второй уязвимости судя по всему анализ более серьёзных последствий не проводился.
Помимо устранения уязвимостей в новой версии также внесены общие улучшения и исправления в реализацию HTTP/3, а также устранены ошибки, связанные с утечкой сокетов, ошибками сокетов или аварийным завершением при использовании AIO. Решена проблема с преждевременным закрытием соединений с незавершенными AIO-операциями во время мягкого завершения старых рабочих процессов. Устранено аварийное завершение при перенаправлении ошибок с кодом 415 при помощи директивы error_page, в случае использования SSL-проксирования и директивы image_filter.
Кроме того, несколько дней назад состоялся выпуск njs 0.8.4, интерпретатора языка JavaScript для веб-сервера nginx. Интерпретатор njs реализует стандарты ECMAScript и позволяет расширять возможности nginx по обработке запросов с помощью скриптов в конфигурации. Скрипты могут использоваться в файле конфигурации для определения расширенной логики обработки запросов, формирования конфигурации, динамической генерации ответа, модификации запроса/ответа или быстрого создания заглушек с решением проблем в web-приложениях. В новой версии отмечено только исправление ошибок.
ஆதாரம்: opennet.ru