From pluknet на nginx.com  Wed Feb  5 17:10:59 2025
From: pluknet на nginx.com (Sergey Kandaurov)
Date: Wed, 5 Feb 2025 21:10:59 +0400
Subject: [nginx-ru-announce] nginx-1.27.4
Message-ID: <974BF736-3EAC-4753-87F1-5A3702865D44@nginx.com>

Изменения в nginx 1.27.4                                          05.02.2025

    *) Безопасность: недостаточная проверка в обработке виртуальных серверов
       при использовании SNI в TLSv1.3 позволяла повторно использовать
       SSL-сессию в контексте другого виртуального сервера, чтобы обойти
       проверку клиентских SSL-сертификатов (CVE-2025-23419).

    *) Добавление: директивы ssl_object_cache_inheritable,
       ssl_certificate_cache, proxy_ssl_certificate_cache,
       grpc_ssl_certificate_cache и uwsgi_ssl_certificate_cache.

    *) Добавление: директива keepalive_min_timeout.

    *) Изменение: при использовании zlib-ng в логах появлялись сообщения
       "gzip filter failed to use preallocated memory".

    *) Исправление: nginx не мог собрать библиотеку libatomic из исходных
       текстов, если использовался параметр --with-libatomic=DIR.

    *) Исправление: могла происходить ошибка установления соединения при
       использовании 0-RTT в QUIC; ошибка появилась в 1.27.1.

    *) Исправление: теперь nginx игнорирует пакеты согласования версий QUIC
       от клиентов.

    *) Исправление: nginx не собирался на Solaris 10 и более ранних с
       модулем ngx_http_v3_module.

    *) Исправления в HTTP/3.


-- 
Sergey Kandaurov


From pluknet на nginx.com  Wed Feb  5 17:11:09 2025
From: pluknet на nginx.com (Sergey Kandaurov)
Date: Wed, 5 Feb 2025 21:11:09 +0400
Subject: [nginx-ru-announce] nginx-1.26.3
Message-ID: <93899E63-2339-4B8D-AFBD-0BA8C5E84718@nginx.com>

Изменения в nginx 1.26.3                                          05.02.2025

    *) Безопасность: недостаточная проверка в обработке виртуальных серверов
       при использовании SNI в TLSv1.3 позволяла повторно использовать
       SSL-сессию в контексте другого виртуального сервера, чтобы обойти
       проверку клиентских SSL-сертификатов (CVE-2025-23419).

    *) Исправление: в модуле ngx_http_mp4_module.
       Спасибо Nils Bars.

    *) Изменение: при использовании zlib-ng в логах появлялись сообщения
       "gzip filter failed to use preallocated memory".

    *) Исправление: nginx не мог собрать библиотеку libatomic из исходных
       текстов, если использовался параметр --with-libatomic=DIR.

    *) Исправление: теперь nginx игнорирует пакеты согласования версий QUIC
       от клиентов.

    *) Исправление: nginx не собирался на Solaris 10 и более ранних с
       модулем ngx_http_v3_module.

    *) Исправления в HTTP/3.


-- 
Sergey Kandaurov


From f5sirt на F5.com  Wed Feb  5 17:23:13 2025
From: f5sirt на F5.com (F5SIRT)
Date: Wed, 5 Feb 2025 17:23:13 +0000
Subject: [nginx-ru-announce] nginx security advisory (CVE-2025-23419)
Message-ID: <BYAPR01MB5334CB2285643B6B4F78D2AFA9F72@BYAPR01MB5334.prod.exchangelabs.com>

Была обнаружена проблема в кэшировании SSL-сессий в nginx.
Повторное использование SSL-сессии в контексте другого
виртуального сервера позволяло в некоторых конфигурациях
обойти проверку клиентских сертификатов (CVE-2025-23419).

Проблеме подвержен nginx 1.11.4 и новее, если он собран с OpenSSL
и разрешены протокол TLSv1.3 и повторное использование SSL-сессий
при помощи ssl_session_cache или ssl_session_tickets.

Проблема исправлена в nginx 1.26.3, 1.27.4.