สาขาหลักของ nginx 1.25.4 ได้รับการเผยแพร่แล้ว ซึ่งการพัฒนาคุณสมบัติใหม่ยังคงดำเนินต่อไป สาขาเสถียรที่บำรุงรักษาแบบขนาน 1.24.x มีเพียงการเปลี่ยนแปลงที่เกี่ยวข้องกับการกำจัดจุดบกพร่องและช่องโหว่ร้ายแรงเท่านั้น ในอนาคต ตามสาขาหลัก 1.25.x จะมีการสร้างสาขาที่มั่นคง 1.26 รหัสโครงการเขียนด้วยภาษา C และเผยแพร่ภายใต้ใบอนุญาต BSD
เวอร์ชันใหม่แก้ไขช่องโหว่สองช่องโหว่ในโมดูลทดลอง http_v3_module (ปิดใช้งานโดยค่าเริ่มต้น) ซึ่งให้การสนับสนุนโปรโตคอล HTTP/3 ซึ่งใช้โปรโตคอล QUIC เป็นการขนส่งสำหรับ HTTP/2 ช่องโหว่แรก (CVE-2024-24989) เกิดจากการยกเลิกการอ้างอิงตัวชี้ null และช่องโหว่ที่สอง (CVE-2024-24990) เกิดจากการเข้าถึงหน่วยความจำหลังจากปล่อยว่าง (CVE-2024-24990) บันทึกการเปลี่ยนแปลงระบุว่าช่องโหว่ทั้งสองสามารถนำไปสู่การหยุดทำงานเมื่อประมวลผลเซสชัน QUIC ที่ออกแบบมาเป็นพิเศษเท่านั้น แต่ช่องโหว่ที่สองไม่ได้รับการวิเคราะห์สำหรับผลที่ตามมาที่ร้ายแรงกว่านี้
นอกจากการแก้ไขช่องโหว่แล้ว เวอร์ชันใหม่นี้ยังมีการปรับปรุงและแก้ไขทั่วไปในการใช้งาน HTTP/3 รวมถึงการแก้ไขปัญหาการรั่วไหลของซ็อกเก็ต ข้อผิดพลาดของซ็อกเก็ต และการหยุดทำงานเมื่อใช้ AIO ปัญหาเกี่ยวกับการปิดการเชื่อมต่อก่อนกำหนดด้วยการดำเนินการ AIO ที่ยังไม่เสร็จสิ้นระหว่างการยุติกระบวนการทำงานแบบเก่าอย่างราบรื่นได้รับการแก้ไขแล้ว การหยุดทำงานเมื่อเปลี่ยนเส้นทางข้อผิดพลาด 415 โดยใช้คำสั่ง error_page ได้รับการแก้ไขแล้ว SSL-คำสั่ง proxying และ image_filter
นอกจากนี้ เมื่อไม่กี่วันที่ผ่านมา njs เวอร์ชัน 0.8.4 ซึ่งเป็นตัวแปลภาษา JavaScript สำหรับ เว็บเซิร์ฟเวอร์ nginx.com ตัวแปลภาษา njs ใช้มาตรฐาน ECMAScript และช่วยให้คุณขยายความสามารถในการประมวลผลคำขอของ nginx โดยใช้สคริปต์การกำหนดค่า สคริปต์สามารถใช้ในไฟล์การกำหนดค่าเพื่อกำหนดตรรกะการประมวลผลคำขอขั้นสูง สร้างการกำหนดค่า สร้างการตอบสนองแบบไดนามิก แก้ไขคำขอ/การตอบสนอง หรือสร้าง stub อย่างรวดเร็วเพื่อแก้ไขปัญหาในเว็บแอปพลิเคชัน เวอร์ชันใหม่นี้มีการแก้ไขข้อบกพร่องเท่านั้น
ที่มา: opennet.ru
