Asosiy nginx 1.31.2 filiali chiqarildi va yangi funksiyalarni ishlab chiqishda davom etmoqda. Parallel barqaror filial, nginx 1.30.3, ham chiqarilmoqda, unda faqat jiddiy xatolar va zaifliklarni tuzatish bilan bog'liq o'zgarishlar mavjud. Ushbu yangilanishlar uchta zaiflikni bartaraf etadi:
- CVE-2026-42530 HTTP/3 protokolini amalga oshirishdagi foydalanishdan keyin bepul zaiflikdir. Ushbu muammoga jiddiylik darajasi (10 balldan 9.2 ball) berilgan, bu esa maxsus yaratilgan QUIC sessiyasini boshqarishda ishchi jarayoni imtiyozlari bilan masofadan kod bajarilishini istisno qilmaydi.
- CVE-2026-42055 - bu ngx_http_proxy_v2_module va ngx_http_grpc_module modullarida bufer toshib ketishi bo'lib, bu maxsus tayyorlangan so'rovlarni HTTP/2 protokoli orqali yoki gRPC orqa tomoniga proksi qilishda yuzaga keladi. Muammo juda muhim deb baholangan (10 balldan 9.2 ball), bu esa kodni masofadan turib bajarishga imkon beradi. Zaiflik sozlama bilan konfiguratsiyalarda o'zini namoyon qiladi.
"ignore_invalid_headers off;" va "large_client_header_buffers" ning kattaroq qiymati. - CVE-2026-48142 — ngx_http_charset_module moduli yordamida UTF-8 matn kodlashiga olib keladigan maxsus tayyorlangan so'rovlarni qayta ishlashda chegaradan tashqari o'qish xatosi yuzaga keladi. Zaiflik "charset_map" direktivasi bilan konfiguratsiyalarda joylashuv blokida "source_charset utf-8" va "charset other_charset" direktivalari mavjud bo'lganda yuzaga keladi. Bu muammo o'rtacha darajada jiddiy deb baholangan (10 balldan 6.3 ball), bu esa ishchi jarayonida xotira oqishi mumkinligiga olib keladi.
Zaifliklarni tuzatishdan tashqari, nginx 1.31.2 versiyasi $ssl_sigalgs o'zgaruvchisini qo'shadi, bu o'zgaruvchi TLS ulanish muzokaralari paytida mijoz tomonidan ClientHello xabarida e'lon qilingan raqamli imzo algoritmlarini o'z ichiga oladi. SipHash-2-4 xeshlash algoritmi $request_id o'zgaruvchisi orqali uzatiladigan identifikatorni yaratish uchun ishlatiladi.
Manba: opennet.ru
