From pluknet на nginx.com Wed Feb 14 16:59:45 2024 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 14 Feb 2024 20:59:45 +0400 Subject: [nginx-ru-announce] nginx-1.25.4 Message-ID: <3102038A-AB25-4C3C-AFF5-1DC808BF9828@nginx.com> Изменения в nginx 1.25.4 14.02.2024 *) Безопасность: при использовании HTTP/3 в рабочем процессе мог произойти segmentation fault во время обработки специально созданной QUIC-сессии (CVE-2024-24989, CVE-2024-24990). *) Исправление: соединения с незавершенными AIO-операциями могли закрываться преждевременно во время плавного завершения старых рабочих процессов. *) Исправление: теперь nginx не пишет в лог сообщения об утечке сокетов, если во время плавного завершения старых рабочих процессов было запрошено быстрое завершение. *) Исправление: при использовании AIO в подзапросе могла происходить ошибка на сокете, утечка сокетов, либо segmentation fault в рабочем процессе (при SSL-проксировании). *) Исправление: в рабочем процессе мог произойти segmentation fault, если использовалось SSL-проксирование и директива image_filter, а ошибки с кодом 415 перенаправлялись с помощью директивы error_page. *) Исправления и улучшения в HTTP/3. -- Sergey Kandaurov From pluknet на nginx.com Wed Feb 14 17:00:16 2024 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 14 Feb 2024 21:00:16 +0400 Subject: [nginx-ru-announce] nginx security advisory (CVE-2024-24989, CVE-2024-24990) Message-ID: В реализации HTTP/3 в nginx были обнаружены две проблемы, которые позволяют атакующему с помощью специально созданной QUIC-сессии вызвать падение рабочего процесса (CVE-2024-24989, CVE-2024-24990), а также потенциально другие последствия (CVE-2024-24990). Проблеме подвержен nginx, собранный с модулем ngx_http_v3_module (по умолчанию не собирается), если в конфигурационном файле используется параметр quic директивы listen. Проблеме подвержен nginx 1.25.0 - 1.25.3. Проблема исправлена в nginx 1.25.4. -- Sergey Kandaurov From arut на nginx.com Tue Apr 16 16:44:48 2024 From: arut на nginx.com (Roman Arutyunyan) Date: Tue, 16 Apr 2024 20:44:48 +0400 Subject: [nginx-ru-announce] nginx-1.25.5 Message-ID: <2DA5F9E9-ACF9-437F-96B8-1AE027F2E724@nginx.com> Изменения в nginx 1.25.5 16.04.2024 *) Добавление: виртуальные сервера в модуле stream. *) Добавление: модуль ngx_stream_pass_module. *) Добавление: параметры deferred, accept_filter и setfib директивы listen в модуле stream. *) Добавление: определение размера строки кеша процессора для некоторых архитектур. Спасибо Piotr Sikora. *) Добавление: поддержка Homebrew на Apple Silicon. Спасибо Piotr Sikora. *) Исправление: улучшения и исправления кросс-компиляции для Windows. Спасибо Piotr Sikora. *) Исправление: неожиданное закрытие соединения при использовании 0-RTT в QUIC. Спасибо Владимиру Хомутову. ---- Roman Arutyunyan arut на nginx.com ----------- следующая часть ----------- Вложение в формате HTML было извлечено… URL: From arut на nginx.com Tue Apr 23 17:50:48 2024 From: arut на nginx.com (Roman Arutyunyan) Date: Tue, 23 Apr 2024 21:50:48 +0400 Subject: [nginx-ru-announce] nginx-1.26.0 Message-ID: Изменения в nginx 1.26.0 23.04.2024 *) Стабильная ветка 1.26.x. ---- Roman Arutyunyan arut на nginx.com From pluknet на nginx.com Wed May 29 15:12:15 2024 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 29 May 2024 19:12:15 +0400 Subject: [nginx-ru-announce] nginx-1.27.0 Message-ID: <45052A5A-8A97-42C3-B274-937E4397D906@nginx.com> Изменения в nginx 1.27.0 29.05.2024 *) Безопасность: при использовании HTTP/3 обработка специально созданной QUIC-сессии могла приводить к падению рабочего процесса, отправке клиенту содержимого памяти рабочего процесса на системах с MTU больше 4096 байт, а также потенциально могла иметь другие последствия (CVE-2024-32760, CVE-2024-31079, CVE-2024-35200, CVE-2024-34161). Спасибо Nils Bars из CISPA. *) Добавление: директивы proxy_limit_rate, fastcgi_limit_rate, scgi_limit_rate и uwsgi_limit_rate поддерживают переменные. *) Исправление: уменьшено потребление памяти для долгоживущих запросов, если используются директивы gzip, gunzip, ssi, sub_filter или grpc_pass. *) Исправление: nginx не собирался gcc 14, если использовался параметр --with-atomic. Спасибо Edgar Bonet. *) Исправления в HTTP/3. -- Sergey Kandaurov From pluknet на nginx.com Wed May 29 15:12:19 2024 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 29 May 2024 19:12:19 +0400 Subject: [nginx-ru-announce] nginx-1.26.1 Message-ID: <22EAD29D-916B-4A16-8B55-B464F964B39E@nginx.com> Изменения в nginx 1.26.1 29.05.2024 *) Безопасность: при использовании HTTP/3 обработка специально созданной QUIC-сессии могла приводить к падению рабочего процесса, отправке клиенту содержимого памяти рабочего процесса на системах с MTU больше 4096 байт, а также потенциально могла иметь другие последствия (CVE-2024-32760, CVE-2024-31079, CVE-2024-35200, CVE-2024-34161). Спасибо Nils Bars из CISPA. *) Исправление: уменьшено потребление памяти для долгоживущих запросов, если используются директивы gzip, gunzip, ssi, sub_filter или grpc_pass. *) Исправление: nginx не собирался gcc 14, если использовался параметр --with-atomic. Спасибо Edgar Bonet. *) Исправление: в HTTP/3. -- Sergey Kandaurov From pluknet на nginx.com Wed May 29 15:12:26 2024 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 29 May 2024 19:12:26 +0400 Subject: [nginx-ru-announce] nginx security advisory (CVE-2024-31079, CVE-2024-32760, CVE-2024-34161, CVE-2024-35200) Message-ID: Hello! В реализации HTTP/3 в nginx были обнаружены четыре проблемы, которые позволяют атакующему с помощью специально созданной QUIC-сессии вызвать падение рабочего процесса (CVE-2024-31079, CVE-2024-32760, CVE-2024-35200), отправку клиенту части содержимого памяти рабочего процесса на системах с MTU больше 4096 байт (CVE-2024-34161), а также потенциально могут иметь другие последствия (CVE-2024-31079, CVE-2024-32760). Проблемам подвержен nginx, если он собран с экспериментальным модулем ngx_http_v3_module (по умолчанию не собирается) и в конфигурационном файле используется параметр quic директивы listen. Проблемам подвержен nginx 1.25.0-1.25.5, 1.26.0. Проблемы исправлены в nginx 1.27.0, 1.26.1. Спасибо Nils Bars из CISPA. -- Sergey Kandaurov From pluknet на nginx.com Wed Aug 14 14:24:23 2024 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 14 Aug 2024 18:24:23 +0400 Subject: [nginx-ru-announce] nginx-1.27.1 Message-ID: <039F3585-7C75-49E0-BE26-2F718B820642@nginx.com> Изменения в nginx 1.27.1 14.08.2024 *) Безопасность: обработка специально созданного mp4-файла модулем ngx_http_mp4_module могла приводить к падению рабочего процесса (CVE-2024-7347). Спасибо Nils Bars. *) Изменение: теперь обработчик в модуле stream не является обязательным. *) Исправление: новые HTTP/2-соединения могли игнорировать плавное завершение старых рабочих процессов. Спасибо Kasei Wang. *) Исправления в HTTP/3. -- Sergey Kandaurov From pluknet на nginx.com Wed Aug 14 14:24:27 2024 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 14 Aug 2024 18:24:27 +0400 Subject: [nginx-ru-announce] nginx-1.26.2 Message-ID: <43453BD2-235E-42AD-9855-E426A10B5D73@nginx.com> Изменения в nginx 1.26.2 14.08.2024 *) Безопасность: обработка специально созданного mp4-файла модулем ngx_http_mp4_module могла приводить к падению рабочего процесса (CVE-2024-7347). Спасибо Nils Bars. -- Sergey Kandaurov From f5sirt на F5.com Wed Aug 14 16:49:28 2024 From: f5sirt на F5.com (F5SIRT) Date: Wed, 14 Aug 2024 16:49:28 +0000 Subject: [nginx-ru-announce] nginx security advisory (CVE-2024-7347) Message-ID: В модуле ngx_http_mp4_module была обнаружена проблема, которая позволяет с помощью специально созданного mp4-файла вызвать падение рабочего процесса (CVE-2024-7347). Проблеме подвержен nginx, если он собран с модулем ngx_http_mp4_module (по умолчанию не собирается) и директива mp4 используется в конфигурационном файле. При этом атака возможна только в случае, если атакующий имеет возможность обеспечить обработку специально созданного mp4-файла с помощью модуля ngx_http_mp4_module. Проблеме подвержен nginx 1.5.13+. Проблема исправлена в 1.27.1, 1.26.2. Патч, исправляющий проблему, доступен тут: https://nginx.org/download/patch.2024.mp4.txt Спасибо Nils Bars за исходное сообщение о проблеме. From arut на nginx.com Fri Sep 6 15:12:45 2024 From: arut на nginx.com (Roman Arutyunyan) Date: Fri, 6 Sep 2024 19:12:45 +0400 Subject: [nginx-ru-announce] =?utf-8?b?TkdJTlgg0L/QtdGA0LXQtdGF0LDQuyA=?= =?utf-8?b?0L3QsCBHaXRIdWIh?= Message-ID: <5749B76D-E006-4506-BAA4-6FCD81B794CF@nginx.com> Привет от команды NGINX! Мы рады сообщить, что официальный репозиторий разработки NGINX Open Source был перенесен с Mercurial на GitHub [1][2][3], где с сегодняшнего дня мы начинаем принимать патчи в форме Pull Request. Отчеты об ошибках, запросы на новую функциональность и улучшения теперь принимаются в разделе «Issues» на GitHub. Форумы сообщества интегрированы в раздел GitHub “Discussions”, где вы можете участвовать в дискуссиях, задавать вопросы и отвечать на них. Важно: чтобы сообщить о проблемах, связанной с безопасностью, просим вас следовать нашей политике безопасности [4]. Мы понимаем, что эти изменения могут потребовать времени на адаптацию. В связи с этим до 31 декабря 2024 года мы продолжим принимать патчи и оказывать поддержку сообществу через списки рассылок. Мы уверены, что данные изменения будут способствовать централизации и упрощению доступа к разработке и взаимодействию с сообществом NGINX. Они отражают наше неизменное стремление к открытому исходному коду, о чем упоминается в блог-посте [5]. Ждем ваших патчей, обсуждений и отзывов на новой платформе. [1] https://github.com/nginx/nginx [2] https://github.com/nginx/nginx-tests [3] https://github.com/nginx/nginx.org [4] https://github.com/nginx/nginx/blob/master/SECURITY.md [5] https://www.f5.com/company/blog/nginx/meetup-recap-nginxs-commitments-to-the-open-source-community От лица команды NGINX, Роман Арутюнян arut на nginx.com From pluknet на nginx.com Wed Oct 2 16:17:59 2024 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 2 Oct 2024 20:17:59 +0400 Subject: [nginx-ru-announce] nginx-1.27.2 Message-ID: Изменения в nginx 1.27.2 02.10.2024 *) Добавление: SSL-сертификаты, секретные ключи и списки CRL теперь кешируются на старте или во время переконфигурации. *) Добавление: проверка клиентских сертификатов с помощью OCSP в модуле stream. *) Добавление: поддержка OCSP stapling в модуле stream. *) Добавление: директива proxy_pass_trailers в модуле ngx_http_proxy_module. *) Добавление: директива ssl_client_certificate теперь поддерживает сертификаты с дополнительными данными. *) Изменение: теперь наличие директивы ssl_client_certificate не обязательно для проверки клиентских SSL-сертификатов. -- Sergey Kandaurov