nginx 1.25.4的主分支已经发布,新功能的开发仍在继续。 并行维护的稳定分支 1.24.x 仅包含与消除严重错误和漏洞相关的更改。 未来将在主分支1.25.x的基础上形成稳定分支1.26。 该项目代码是用 C 语言编写的,并在 BSD 许可证下分发。
新版本修复了实验模块http_v3_module(默认禁用)中的两个漏洞,该模块提供了对HTTP/3协议的支持,该协议使用QUIC协议作为HTTP/2的传输。第一个漏洞 (CVE-2024-24989) 是由空指针取消引用引起的,第二个漏洞 (CVE-2024-24990) 是由释放后的内存访问引起的 (CVE-2024-24990)。变更日志指出,这两个漏洞只会在处理专门设计的 QUIC 会话时导致崩溃,但第二个漏洞似乎尚未分析是否会造成更严重的后果。
除了解决漏洞之外,新版本还包括对 HTTP/3 实现的一般改进和修复,并修复了与套接字泄漏、套接字错误或使用 AIO 时崩溃相关的错误。解决了旧工作进程软关闭期间与挂起的 AIO 操作的连接过早关闭的问题。修复了在使用 SSL 代理和 image_filter 指令时使用 error_page 指令重定向代码为 415 的错误时发生的崩溃。
此外,几天前,nginx Web 服务器的 JavaScript 解释器 njs 0.8.4 发布了。 njs 解释器实现了 ECMAScript 标准,并允许您使用配置中的脚本扩展 nginx 处理请求的能力。脚本可以在配置文件中使用来定义高级逻辑,用于处理请求、生成配置、动态生成响应、修改请求/响应或快速创建存根以解决 Web 应用程序中的问题。新版本仅包含错误修复。
来源: opennet.ru