[ON] Обновления nginx 1.29.7 и 1.28.3 с устранением 6 уязвимостей

Обсуждение новостей, соответствующих тематике форума

Модератор: Модераторы разделов

Аватара пользователя
rssbot
Бот
Сообщения: 6001
ОС: gnu/linux

[ON] Обновления nginx 1.29.7 и 1.28.3 с устранением 6 уязвимостей

Сообщение rssbot »

Сформирован выпуск основной ветки nginx 1.29.7, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.28.3, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранено 6 уязвимостей, три из которых приводят к переполнению буфера. Четырём уязвимостям присвоен высокий уровень опасности (8.8 или 8.5 из 10).
  • CVE-2026-27654 - переполнение буфера в модуле ngx_http_dav_module, возникающее при обработке WebDAV-запросов COPY и MOVE при использовании в блоках "location" директивы "alias". Уязвимость позволяет изменить пути к файлам для обращения за пределы базового каталога. Проблема выявлена с использованием AI-модели Claude.
  • CVE-2026-27784, CVE-2026-32647 - переполнения буферов в модуле ngx_http_mp4_module, возникающие при обработке специально оформленных файлов mp4. Не исключается, что эксплуатация уязвимости не ограничивается аварийным завершением рабочего процесса.
  • CVE-2026-27651 - разыменование нулевого указателя при некорректном использовании методов аутентификации CRAM-MD5 или APOP.
  • CVE-2026-28753 - возможность манипуляции с PTR-записями в DNS для подстановки данных атакующего в запросы auth_http и команду XCLIENT в SMTP-соединении к бэкенду.
  • CVE-2026-28755 - обход результата OCSP-проверки сертификата в модуле stream.






Среди не связанных с безопасностью изменений в nginx 1.29.7
  • Добавлена поддержка протокола Multipath TCP (MPTCP), позволяющего доставлять пакеты одновременно по нескольким маршрутам через разные сетевые интерфейсы. Для включения в директиву "listen" добавлен параметр "multipath".
  • В директиву "keepalive", используемую в блоке "upstream", добавлен параметр "local". При указании данного параметра, вместо совместного использования одного соединения к общему upstream-серверу, упоминаемому в разных
    блоках location и server, для каждого блока поддерживается отдельное соединение к upstream.
  • В блоке "upstream" активирована по умолчанию директива "keepalive".
  • При использовании в режиме прокси по умолчанию выставлена версия протокола HTTP/1.1 с включением режима keep-alive (в модуле ngx_http_proxy_module включена по умолчанию поддержка keep-alive и выставлено значение "1.1" в директиве "proxy_http_version" и прекращена отправка по умолчанию заголовка "Connection"). Для возвращения старого поведения, позволяющего обращаться к бэкендам, поддерживающим только HTTP/1.0, следует выставить настройки:

    Код:

    proxy_http_version 1.0;
    proxy_set_header Connection "Close";


Источник: https://www.opennet.ru/opennews/art.shtml?num=65068
(opennet.ru, мини-новости)
Спасибо сказали:
Вернуться к началу

Вернуться в «Новости»