Nhánh chính của nginx 1.25.4 đã được phát hành, trong đó các tính năng mới vẫn tiếp tục được phát triển. Nhánh ổn định được duy trì song song 1.24.x chỉ chứa các thay đổi liên quan đến việc loại bỏ các lỗi và lỗ hổng nghiêm trọng. Trong tương lai, dựa trên nhánh chính 1.25.x, nhánh ổn định 1.26 sẽ được hình thành. Mã dự án được viết bằng C và được phân phối theo giấy phép BSD.
Phiên bản mới sửa hai lỗ hổng trong mô-đun thử nghiệm http_v3_module (bị tắt theo mặc định), cung cấp hỗ trợ cho giao thức HTTP/3, sử dụng giao thức QUIC làm phương tiện truyền tải cho HTTP/2. Lỗ hổng đầu tiên (CVE-2024-24989) là do vô hiệu hóa con trỏ null và lỗ hổng thứ hai (CVE-2024-24990) là do truy cập bộ nhớ sau khi giải phóng (CVE-2024-24990). Nhật ký thay đổi cho biết cả hai lỗ hổng chỉ có thể dẫn đến sự cố khi xử lý các phiên QUIC được thiết kế đặc biệt, nhưng lỗ hổng thứ hai dường như chưa được phân tích để tìm ra những hậu quả nghiêm trọng hơn.
Ngoài việc giải quyết các lỗ hổng, phiên bản mới còn bao gồm các cải tiến và sửa lỗi chung đối với việc triển khai HTTP/3, đồng thời sửa các lỗi liên quan đến rò rỉ ổ cắm, lỗi ổ cắm hoặc sự cố khi sử dụng AIO. Đã giải quyết vấn đề khiến các kết nối với các hoạt động AIO đang chờ xử lý bị đóng sớm trong quá trình tắt mềm các quy trình của nhân viên cũ. Đã khắc phục sự cố khi chuyển hướng lỗi có mã 415 bằng lệnh error_page khi sử dụng proxy SSL và lệnh image_filter.
Ngoài ra, cách đây vài ngày, njs 0.8.4, trình thông dịch JavaScript cho máy chủ web nginx, đã được phát hành. Trình thông dịch njs triển khai các tiêu chuẩn ECMAScript và cho phép bạn mở rộng khả năng xử lý yêu cầu của nginx bằng cách sử dụng các tập lệnh trong cấu hình. Tập lệnh có thể được sử dụng trong tệp cấu hình để xác định logic nâng cao để xử lý yêu cầu, tạo cấu hình, tạo phản hồi động, sửa đổi yêu cầu/phản hồi hoặc tạo nhanh các sơ khai để giải quyết các vấn đề trong ứng dụng web. Phiên bản mới chỉ chứa các bản sửa lỗi.
Nguồn: opennet.ru