В новом выпуске:
- Добавлена директива max_headers, ограничивающая максимальное число HTTP-заголовков в запросе. При превышении лимита возвращается ошибка 400 (Bad Request). Возможность перенесена из FreeNginx.
- Обеспечена совместимость с библиотекой OpenSSL 4.0, находящейся на стадии альфа-тестирования.
- Разрешено использовать маски в директиве "include", указанной внутри блока "geo".
- Исправлена ошибка в обработке HTTP-ответов с кодом 103 (Early Hints), возвращаемых проксируемым бэкендом.
- Устранено невыставление переменных $request_port и $is_request_port
в подзапросах.
Дополнительно можно отметить публикацию релиза проекта FreeNginx 1.29.7, развивающего форк Nginx. Разработку форка ведёт Максим Дунин, один из ключевых разработчиков Nginx. FreeNginx позиционируется как некоммерческий проект, обеспечивающий разработку кодовой базы Nginx без корпоративного вмешательства. Код FreeNginx продолжает поставляться под лицензией BSD. В новой версии обеспечена совместимость с OpenSSL 4.0. Устранено переполнение буфера (CVE-2026-27654) в модуле ngx_http_dav_module, возникающее при обработке WebDAV-запросов COPY и MOVE при использовании в блоках "location" директивы "alias". Устранена возможность манипуляции с PTR-записями в DNS для подстановки данных атакующего (CVE-2026-28753) в запросы auth_http и команду XCLIENT в SMTP-соединении к бэкенду.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65164
(opennet.ru, мини-новости)