nginx 1.25.4的主分支已經發布,新功能的開發仍在繼續。 並行維護的穩定分支 1.24.x 僅包含與消除嚴重錯誤和漏洞相關的變更。 未來將在主分支1.25.x的基礎上形成穩定分支1.26。 該專案代碼是用 C 語言編寫的,並在 BSD 許可證下分發。
新版本修復了實驗模組http_v3_module(預設為停用)中的兩個漏洞,該模組提供了對HTTP/3協定的支持,該協定使用QUIC協定作為HTTP/2的傳輸。第一個漏洞 (CVE-2024-24989) 是由空指標取消引用引起的,第二個漏洞 (CVE-2024-24990) 是由釋放後的記憶體存取引起的 (CVE-2024-24990)。更新日誌指出,這兩個漏洞只會在處理專門設計的 QUIC 會話時導致崩潰,但第二個漏洞似乎尚未被分析為更嚴重的後果。
除了解決漏洞之外,新版本還包括 HTTP/3 實現的一般改進和修復,並修復了與套接字洩漏、套接字錯誤或使用 AIO 時崩潰相關的錯誤。解決了舊工作進程軟關閉期間與掛起的 AIO 操作的連接過早關閉的問題。修正了使用 SSL 代理程式和 image_filter 指令時使用 error_page 指令重定向程式碼為 415 的錯誤時發生的當機。
另外,幾天前,nginx Web 伺服器的 JavaScript 解釋器 njs 0.8.4 發布了。 njs 解釋器實作了 ECMAScript 標準,並允許您使用配置中的腳本擴展 nginx 處理請求的能力。腳本可以在設定檔中使用來定義高級邏輯,用於處理請求、生成配置、動態生成回應、修改請求/回應或快速建立存根以解決 Web 應用程式中的問題。新版本僅包含錯誤修復。
來源: opennet.ru