Сформовано випуск основної гілки nginx 1.25.4, в рамках якої продовжується розвиток нових можливостей. У стабільній гілці 1.24.x, що паралельно підтримується, вносяться лише зміни, пов'язані з усуненням серйозних помилок і вразливостей. Надалі на базі основної гілки 1.25.x буде сформовано стабільну гілку 1.26. Код проекту написаний мовою Сі та поширюється під ліцензією BSD.
У новій версії усунуто дві вразливості в експериментальному модулі http_v3_module (відключено за замовчуванням), що забезпечує підтримку протоколу HTTP/3, який використовує протокол QUIC як транспорт для HTTP/2. Перша вразливість (CVE-2024-24989) викликана розйменуванням нульового покажчика, а друга (CVE-2024-24990) зверненням до пам'яті після звільнення (CVE-2024-24990). У списку змін стверджується, що обидві вразливості можуть призвести лише до аварійного завершення робочого процесу при обробці спеціально оформлених сеансів QUIC, але для другої вразливості судячи з усього, аналіз більш серйозних наслідків не проводився.
Крім усунення вразливостей у новій версії також внесено загальні покращення та виправлення в реалізацію HTTP/3, а також усунено помилки, пов'язані з витоком сокетів, помилками сокетів або аварійним завершенням під час використання AIO. Вирішено проблему з передчасним закриттям з'єднань із незавершеними AIO-операціями під час м'якого завершення старих робочих процесів. Усунено аварійне завершення при перенаправленні помилок з кодом 415 за допомогою директиви error_page, у разі використання SSL-проксіювання та директиви image_filter.
Крім того, кілька днів тому відбувся випуск njs 0.8.4, інтерпретатора JavaScript для веб-сервера nginx. Інтерпретатор njs реалізує стандарти ECMAScript і дозволяє розширювати можливості nginx обробки запитів за допомогою скриптів у конфігурації. Скрипти можуть використовуватися у файлі конфігурації для визначення розширеної логіки обробки запитів, формування конфігурації, динамічної генерації відповіді, модифікації запиту/відповіді або швидкого створення заглушок із вирішенням проблем у веб-додатках. У новій версії зазначено лише виправлення помилок.
Джерело: opennet.ru