From pluknet на nginx.com Wed Feb 5 17:10:59 2025 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 5 Feb 2025 21:10:59 +0400 Subject: [nginx-ru-announce] nginx-1.27.4 Message-ID: <974BF736-3EAC-4753-87F1-5A3702865D44@nginx.com> Изменения в nginx 1.27.4 05.02.2025 *) Безопасность: недостаточная проверка в обработке виртуальных серверов при использовании SNI в TLSv1.3 позволяла повторно использовать SSL-сессию в контексте другого виртуального сервера, чтобы обойти проверку клиентских SSL-сертификатов (CVE-2025-23419). *) Добавление: директивы ssl_object_cache_inheritable, ssl_certificate_cache, proxy_ssl_certificate_cache, grpc_ssl_certificate_cache и uwsgi_ssl_certificate_cache. *) Добавление: директива keepalive_min_timeout. *) Изменение: при использовании zlib-ng в логах появлялись сообщения "gzip filter failed to use preallocated memory". *) Исправление: nginx не мог собрать библиотеку libatomic из исходных текстов, если использовался параметр --with-libatomic=DIR. *) Исправление: могла происходить ошибка установления соединения при использовании 0-RTT в QUIC; ошибка появилась в 1.27.1. *) Исправление: теперь nginx игнорирует пакеты согласования версий QUIC от клиентов. *) Исправление: nginx не собирался на Solaris 10 и более ранних с модулем ngx_http_v3_module. *) Исправления в HTTP/3. -- Sergey Kandaurov From pluknet на nginx.com Wed Feb 5 17:11:09 2025 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 5 Feb 2025 21:11:09 +0400 Subject: [nginx-ru-announce] nginx-1.26.3 Message-ID: <93899E63-2339-4B8D-AFBD-0BA8C5E84718@nginx.com> Изменения в nginx 1.26.3 05.02.2025 *) Безопасность: недостаточная проверка в обработке виртуальных серверов при использовании SNI в TLSv1.3 позволяла повторно использовать SSL-сессию в контексте другого виртуального сервера, чтобы обойти проверку клиентских SSL-сертификатов (CVE-2025-23419). *) Исправление: в модуле ngx_http_mp4_module. Спасибо Nils Bars. *) Изменение: при использовании zlib-ng в логах появлялись сообщения "gzip filter failed to use preallocated memory". *) Исправление: nginx не мог собрать библиотеку libatomic из исходных текстов, если использовался параметр --with-libatomic=DIR. *) Исправление: теперь nginx игнорирует пакеты согласования версий QUIC от клиентов. *) Исправление: nginx не собирался на Solaris 10 и более ранних с модулем ngx_http_v3_module. *) Исправления в HTTP/3. -- Sergey Kandaurov From f5sirt на F5.com Wed Feb 5 17:23:13 2025 From: f5sirt на F5.com (F5SIRT) Date: Wed, 5 Feb 2025 17:23:13 +0000 Subject: [nginx-ru-announce] nginx security advisory (CVE-2025-23419) Message-ID: Была обнаружена проблема в кэшировании SSL-сессий в nginx. Повторное использование SSL-сессии в контексте другого виртуального сервера позволяло в некоторых конфигурациях обойти проверку клиентских сертификатов (CVE-2025-23419). Проблеме подвержен nginx 1.11.4 и новее, если он собран с OpenSSL и разрешены протокол TLSv1.3 и повторное использование SSL-сессий при помощи ssl_session_cache или ssl_session_tickets. Проблема исправлена в nginx 1.26.3, 1.27.4. From pluknet на nginx.com Wed Apr 16 14:14:21 2025 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 16 Apr 2025 18:14:21 +0400 Subject: [nginx-ru-announce] nginx-1.27.5 Message-ID: <506A8DC1-96CA-41E5-BF8D-FE02D2459BA9@nginx.com> Изменения в nginx 1.27.5 16.04.2025 *) Добавление: контроль перегрузки CUBIC в соединениях QUIC. *) Изменение: ограничение на максимальный размер кешируемых в разделяемой памяти SSL-сессий поднято до 8192. *) Исправление: в директивах grpc_ssl_password_file, proxy_ssl_password_file и uwsgi_ssl_password_file при загрузке SSL-сертификатов и зашифрованных ключей из переменных; ошибка появилась в 1.23.1. *) Исправление: в переменных $ssl_curve и $ssl_curves при использовании подключаемых кривых в OpenSSL. *) Исправление: nginx не собирался с musl libc. Спасибо Piotr Sikora. *) Улучшения производительности и исправления в HTTP/3. -- Sergey Kandaurov From pluknet на nginx.com Wed Apr 23 13:59:53 2025 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 23 Apr 2025 17:59:53 +0400 Subject: [nginx-ru-announce] nginx-1.28.0 Message-ID: Изменения в nginx 1.28.0 23.04.2025 *) Стабильная ветка 1.28.x. *) Исправление: nginx не собирался gcc 15, если использовались модули ngx_http_v2_module и ngx_http_v3_module. *) Исправление: nginx мог не собираться gcc 14 и новее с оптимизацией -O3 -flto, если использовался модуль ngx_http_v3_module. -- Sergey Kandaurov From pluknet на nginx.com Tue Jun 24 19:01:15 2025 From: pluknet на nginx.com (Sergey Kandaurov) Date: Tue, 24 Jun 2025 23:01:15 +0400 Subject: [nginx-ru-announce] nginx-1.29.0 Message-ID: <498B6015-E185-4006-A20C-F3790B6F0BBB@nginx.com> Изменения в nginx 1.29.0 24.06.2025 *) Добавление: поддержка ответа с кодом 103 от proxy- и gRPC-бэкендов; директива early_hints. *) Добавление: возможность загрузки секретных ключей с аппаратных устройств с помощью OpenSSL provider. *) Добавление: поддержка параметра so_keepalive директивы listen на macOS. *) Изменение: уровень логгирования ошибок SSL в QUIC handshake изменён с уровня error на crit для критических ошибок и на info для всех остальных; уровень логгирования неподдерживаемых транспортных параметров QUIC понижен с уровня info до debug. *) Изменение: бинарная версия nginx/Windows теперь использует для сборки Windows SDK 10. *) Исправление: nginx не собирался gcc 15, если использовались модули ngx_http_v2_module и ngx_http_v3_module. *) Исправление: nginx мог не собираться gcc 14 и новее с оптимизацией -O3 -flto, если использовался модуль ngx_http_v3_module. *) Исправления и улучшения в HTTP/3. -- Sergey Kandaurov From pluknet на nginx.com Wed Aug 13 17:19:58 2025 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 13 Aug 2025 21:19:58 +0400 Subject: [nginx-ru-announce] nginx security advisory (CVE-2025-53859) Message-ID: <1882EF77-3B9E-4C2B-8993-9DAA3C9504CE@nginx.com> Была обнаружена проблема в модуле ngx_mail_smtp_module, которая позволяет атакующему вызвать чтение памяти за границей буфера, что потенциально могло привести к утечке конфиденциальной информации в содержимом HTTP-запроса к серверу аутентификации (CVE-2025-53859). Проблема происходила в процессе аутентификации SMTP; требуется подготовка к атаке на целевую систему, чтобы извлечь утёкшие данные. Проблеме подвержен nginx 0.7.22-1.29.0. Проблема исправлена в nginx 1.29.1. При использовании более старых версий в качестве временной защиты можно воспользоваться любым из решений: (1) убрать параметр "none" из директивы "smtp_auth". (2) убрать заголовок "Auth-Wait" из ответа сервера аутентификации. Патч, исправляющий проблему, доступен тут: https://nginx.org/download/patch.2025.smtp.txt -- Sergey Kandaurov From pluknet на nginx.com Wed Aug 13 17:25:36 2025 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 13 Aug 2025 21:25:36 +0400 Subject: [nginx-ru-announce] nginx-1.29.1 Message-ID: Изменения в nginx 1.29.1 13.08.2025 *) Безопасность: обработка специально созданного логина/пароля при использовании метода аутентификации "none" в модуле ngx_mail_smtp_module могла приводить к отправке серверу аутентификации части содержимого памяти рабочего процесса (CVE-2025-53859). *) Изменение: теперь сжатие сертификатов в протоколе TLSv1.3 по умолчанию запрещено. *) Добавление: директива ssl_certificate_compression. *) Добавление: поддержка 0-RTT в QUIC при использовании OpenSSL 3.5.1 и новее. *) Исправление: при использовании HTTP/2 и директивы early_hints ответ 103 мог буферизироваться. *) Исправление: в обработке заголовков запроса "Host" и ":authority" с одинаковыми значениями при использовании HTTP/2; ошибка появилась в 1.17.9. *) Исправление: в обработке заголовка запроса "Host" с портом при использовании HTTP/3. *) Исправление: nginx не собирался под NetBSD 10.0. *) Исправление: в работе параметра none директивы smtp_auth. -- Sergey Kandaurov