From pluknet на nginx.com  Wed Feb  5 17:10:59 2025
From: pluknet на nginx.com (Sergey Kandaurov)
Date: Wed, 5 Feb 2025 21:10:59 +0400
Subject: [nginx-ru-announce] nginx-1.27.4
Message-ID: <974BF736-3EAC-4753-87F1-5A3702865D44@nginx.com>

Изменения в nginx 1.27.4                                          05.02.2025

    *) Безопасность: недостаточная проверка в обработке виртуальных серверов
       при использовании SNI в TLSv1.3 позволяла повторно использовать
       SSL-сессию в контексте другого виртуального сервера, чтобы обойти
       проверку клиентских SSL-сертификатов (CVE-2025-23419).

    *) Добавление: директивы ssl_object_cache_inheritable,
       ssl_certificate_cache, proxy_ssl_certificate_cache,
       grpc_ssl_certificate_cache и uwsgi_ssl_certificate_cache.

    *) Добавление: директива keepalive_min_timeout.

    *) Изменение: при использовании zlib-ng в логах появлялись сообщения
       "gzip filter failed to use preallocated memory".

    *) Исправление: nginx не мог собрать библиотеку libatomic из исходных
       текстов, если использовался параметр --with-libatomic=DIR.

    *) Исправление: могла происходить ошибка установления соединения при
       использовании 0-RTT в QUIC; ошибка появилась в 1.27.1.

    *) Исправление: теперь nginx игнорирует пакеты согласования версий QUIC
       от клиентов.

    *) Исправление: nginx не собирался на Solaris 10 и более ранних с
       модулем ngx_http_v3_module.

    *) Исправления в HTTP/3.


-- 
Sergey Kandaurov


From pluknet на nginx.com  Wed Feb  5 17:11:09 2025
From: pluknet на nginx.com (Sergey Kandaurov)
Date: Wed, 5 Feb 2025 21:11:09 +0400
Subject: [nginx-ru-announce] nginx-1.26.3
Message-ID: <93899E63-2339-4B8D-AFBD-0BA8C5E84718@nginx.com>

Изменения в nginx 1.26.3                                          05.02.2025

    *) Безопасность: недостаточная проверка в обработке виртуальных серверов
       при использовании SNI в TLSv1.3 позволяла повторно использовать
       SSL-сессию в контексте другого виртуального сервера, чтобы обойти
       проверку клиентских SSL-сертификатов (CVE-2025-23419).

    *) Исправление: в модуле ngx_http_mp4_module.
       Спасибо Nils Bars.

    *) Изменение: при использовании zlib-ng в логах появлялись сообщения
       "gzip filter failed to use preallocated memory".

    *) Исправление: nginx не мог собрать библиотеку libatomic из исходных
       текстов, если использовался параметр --with-libatomic=DIR.

    *) Исправление: теперь nginx игнорирует пакеты согласования версий QUIC
       от клиентов.

    *) Исправление: nginx не собирался на Solaris 10 и более ранних с
       модулем ngx_http_v3_module.

    *) Исправления в HTTP/3.


-- 
Sergey Kandaurov


From f5sirt на F5.com  Wed Feb  5 17:23:13 2025
From: f5sirt на F5.com (F5SIRT)
Date: Wed, 5 Feb 2025 17:23:13 +0000
Subject: [nginx-ru-announce] nginx security advisory (CVE-2025-23419)
Message-ID: <BYAPR01MB5334CB2285643B6B4F78D2AFA9F72@BYAPR01MB5334.prod.exchangelabs.com>

Была обнаружена проблема в кэшировании SSL-сессий в nginx.
Повторное использование SSL-сессии в контексте другого
виртуального сервера позволяло в некоторых конфигурациях
обойти проверку клиентских сертификатов (CVE-2025-23419).

Проблеме подвержен nginx 1.11.4 и новее, если он собран с OpenSSL
и разрешены протокол TLSv1.3 и повторное использование SSL-сессий
при помощи ssl_session_cache или ssl_session_tickets.

Проблема исправлена в nginx 1.26.3, 1.27.4.

From pluknet на nginx.com  Wed Apr 16 14:14:21 2025
From: pluknet на nginx.com (Sergey Kandaurov)
Date: Wed, 16 Apr 2025 18:14:21 +0400
Subject: [nginx-ru-announce] nginx-1.27.5
Message-ID: <506A8DC1-96CA-41E5-BF8D-FE02D2459BA9@nginx.com>

Изменения в nginx 1.27.5                                          16.04.2025

    *) Добавление: контроль перегрузки CUBIC в соединениях QUIC.

    *) Изменение: ограничение на максимальный размер кешируемых в
       разделяемой памяти SSL-сессий поднято до 8192.

    *) Исправление: в директивах grpc_ssl_password_file,
       proxy_ssl_password_file и uwsgi_ssl_password_file при загрузке
       SSL-сертификатов и зашифрованных ключей из переменных; ошибка
       появилась в 1.23.1.

    *) Исправление: в переменных $ssl_curve и $ssl_curves при использовании
       подключаемых кривых в OpenSSL.

    *) Исправление: nginx не собирался с musl libc.
       Спасибо Piotr Sikora.

    *) Улучшения производительности и исправления в HTTP/3.


-- 
Sergey Kandaurov


From pluknet на nginx.com  Wed Apr 23 13:59:53 2025
From: pluknet на nginx.com (Sergey Kandaurov)
Date: Wed, 23 Apr 2025 17:59:53 +0400
Subject: [nginx-ru-announce] nginx-1.28.0
Message-ID: <B62BF215-B564-4964-9BA3-D5F8AAC8EC24@nginx.com>

Изменения в nginx 1.28.0                                          23.04.2025

    *) Стабильная ветка 1.28.x.

    *) Исправление: nginx не собирался gcc 15, если использовались модули
       ngx_http_v2_module и ngx_http_v3_module.

    *) Исправление: nginx мог не собираться gcc 14 и новее с оптимизацией
       -O3 -flto, если использовался модуль ngx_http_v3_module.


-- 
Sergey Kandaurov