From pluknet на nginx.com Wed Feb 5 17:10:59 2025 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 5 Feb 2025 21:10:59 +0400 Subject: [nginx-ru-announce] nginx-1.27.4 Message-ID: <974BF736-3EAC-4753-87F1-5A3702865D44@nginx.com> Изменения в nginx 1.27.4 05.02.2025 *) Безопасность: недостаточная проверка в обработке виртуальных серверов при использовании SNI в TLSv1.3 позволяла повторно использовать SSL-сессию в контексте другого виртуального сервера, чтобы обойти проверку клиентских SSL-сертификатов (CVE-2025-23419). *) Добавление: директивы ssl_object_cache_inheritable, ssl_certificate_cache, proxy_ssl_certificate_cache, grpc_ssl_certificate_cache и uwsgi_ssl_certificate_cache. *) Добавление: директива keepalive_min_timeout. *) Изменение: при использовании zlib-ng в логах появлялись сообщения "gzip filter failed to use preallocated memory". *) Исправление: nginx не мог собрать библиотеку libatomic из исходных текстов, если использовался параметр --with-libatomic=DIR. *) Исправление: могла происходить ошибка установления соединения при использовании 0-RTT в QUIC; ошибка появилась в 1.27.1. *) Исправление: теперь nginx игнорирует пакеты согласования версий QUIC от клиентов. *) Исправление: nginx не собирался на Solaris 10 и более ранних с модулем ngx_http_v3_module. *) Исправления в HTTP/3. -- Sergey Kandaurov From pluknet на nginx.com Wed Feb 5 17:11:09 2025 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 5 Feb 2025 21:11:09 +0400 Subject: [nginx-ru-announce] nginx-1.26.3 Message-ID: <93899E63-2339-4B8D-AFBD-0BA8C5E84718@nginx.com> Изменения в nginx 1.26.3 05.02.2025 *) Безопасность: недостаточная проверка в обработке виртуальных серверов при использовании SNI в TLSv1.3 позволяла повторно использовать SSL-сессию в контексте другого виртуального сервера, чтобы обойти проверку клиентских SSL-сертификатов (CVE-2025-23419). *) Исправление: в модуле ngx_http_mp4_module. Спасибо Nils Bars. *) Изменение: при использовании zlib-ng в логах появлялись сообщения "gzip filter failed to use preallocated memory". *) Исправление: nginx не мог собрать библиотеку libatomic из исходных текстов, если использовался параметр --with-libatomic=DIR. *) Исправление: теперь nginx игнорирует пакеты согласования версий QUIC от клиентов. *) Исправление: nginx не собирался на Solaris 10 и более ранних с модулем ngx_http_v3_module. *) Исправления в HTTP/3. -- Sergey Kandaurov From f5sirt на F5.com Wed Feb 5 17:23:13 2025 From: f5sirt на F5.com (F5SIRT) Date: Wed, 5 Feb 2025 17:23:13 +0000 Subject: [nginx-ru-announce] nginx security advisory (CVE-2025-23419) Message-ID: Была обнаружена проблема в кэшировании SSL-сессий в nginx. Повторное использование SSL-сессии в контексте другого виртуального сервера позволяло в некоторых конфигурациях обойти проверку клиентских сертификатов (CVE-2025-23419). Проблеме подвержен nginx 1.11.4 и новее, если он собран с OpenSSL и разрешены протокол TLSv1.3 и повторное использование SSL-сессий при помощи ssl_session_cache или ssl_session_tickets. Проблема исправлена в nginx 1.26.3, 1.27.4. From pluknet на nginx.com Wed Apr 16 14:14:21 2025 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 16 Apr 2025 18:14:21 +0400 Subject: [nginx-ru-announce] nginx-1.27.5 Message-ID: <506A8DC1-96CA-41E5-BF8D-FE02D2459BA9@nginx.com> Изменения в nginx 1.27.5 16.04.2025 *) Добавление: контроль перегрузки CUBIC в соединениях QUIC. *) Изменение: ограничение на максимальный размер кешируемых в разделяемой памяти SSL-сессий поднято до 8192. *) Исправление: в директивах grpc_ssl_password_file, proxy_ssl_password_file и uwsgi_ssl_password_file при загрузке SSL-сертификатов и зашифрованных ключей из переменных; ошибка появилась в 1.23.1. *) Исправление: в переменных $ssl_curve и $ssl_curves при использовании подключаемых кривых в OpenSSL. *) Исправление: nginx не собирался с musl libc. Спасибо Piotr Sikora. *) Улучшения производительности и исправления в HTTP/3. -- Sergey Kandaurov From pluknet на nginx.com Wed Apr 23 13:59:53 2025 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 23 Apr 2025 17:59:53 +0400 Subject: [nginx-ru-announce] nginx-1.28.0 Message-ID: Изменения в nginx 1.28.0 23.04.2025 *) Стабильная ветка 1.28.x. *) Исправление: nginx не собирался gcc 15, если использовались модули ngx_http_v2_module и ngx_http_v3_module. *) Исправление: nginx мог не собираться gcc 14 и новее с оптимизацией -O3 -flto, если использовался модуль ngx_http_v3_module. -- Sergey Kandaurov From pluknet на nginx.com Tue Jun 24 19:01:15 2025 From: pluknet на nginx.com (Sergey Kandaurov) Date: Tue, 24 Jun 2025 23:01:15 +0400 Subject: [nginx-ru-announce] nginx-1.29.0 Message-ID: <498B6015-E185-4006-A20C-F3790B6F0BBB@nginx.com> Изменения в nginx 1.29.0 24.06.2025 *) Добавление: поддержка ответа с кодом 103 от proxy- и gRPC-бэкендов; директива early_hints. *) Добавление: возможность загрузки секретных ключей с аппаратных устройств с помощью OpenSSL provider. *) Добавление: поддержка параметра so_keepalive директивы listen на macOS. *) Изменение: уровень логгирования ошибок SSL в QUIC handshake изменён с уровня error на crit для критических ошибок и на info для всех остальных; уровень логгирования неподдерживаемых транспортных параметров QUIC понижен с уровня info до debug. *) Изменение: бинарная версия nginx/Windows теперь использует для сборки Windows SDK 10. *) Исправление: nginx не собирался gcc 15, если использовались модули ngx_http_v2_module и ngx_http_v3_module. *) Исправление: nginx мог не собираться gcc 14 и новее с оптимизацией -O3 -flto, если использовался модуль ngx_http_v3_module. *) Исправления и улучшения в HTTP/3. -- Sergey Kandaurov From pluknet на nginx.com Wed Aug 13 17:19:58 2025 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 13 Aug 2025 21:19:58 +0400 Subject: [nginx-ru-announce] nginx security advisory (CVE-2025-53859) Message-ID: <1882EF77-3B9E-4C2B-8993-9DAA3C9504CE@nginx.com> Была обнаружена проблема в модуле ngx_mail_smtp_module, которая позволяет атакующему вызвать чтение памяти за границей буфера, что потенциально могло привести к утечке конфиденциальной информации в содержимом HTTP-запроса к серверу аутентификации (CVE-2025-53859). Проблема происходила в процессе аутентификации SMTP; требуется подготовка к атаке на целевую систему, чтобы извлечь утёкшие данные. Проблеме подвержен nginx 0.7.22-1.29.0. Проблема исправлена в nginx 1.29.1. При использовании более старых версий в качестве временной защиты можно воспользоваться любым из решений: (1) убрать параметр "none" из директивы "smtp_auth". (2) убрать заголовок "Auth-Wait" из ответа сервера аутентификации. Патч, исправляющий проблему, доступен тут: https://nginx.org/download/patch.2025.smtp.txt -- Sergey Kandaurov From pluknet на nginx.com Wed Aug 13 17:25:36 2025 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 13 Aug 2025 21:25:36 +0400 Subject: [nginx-ru-announce] nginx-1.29.1 Message-ID: Изменения в nginx 1.29.1 13.08.2025 *) Безопасность: обработка специально созданного логина/пароля при использовании метода аутентификации "none" в модуле ngx_mail_smtp_module могла приводить к отправке серверу аутентификации части содержимого памяти рабочего процесса (CVE-2025-53859). *) Изменение: теперь сжатие сертификатов в протоколе TLSv1.3 по умолчанию запрещено. *) Добавление: директива ssl_certificate_compression. *) Добавление: поддержка 0-RTT в QUIC при использовании OpenSSL 3.5.1 и новее. *) Исправление: при использовании HTTP/2 и директивы early_hints ответ 103 мог буферизироваться. *) Исправление: в обработке заголовков запроса "Host" и ":authority" с одинаковыми значениями при использовании HTTP/2; ошибка появилась в 1.17.9. *) Исправление: в обработке заголовка запроса "Host" с портом при использовании HTTP/3. *) Исправление: nginx не собирался под NetBSD 10.0. *) Исправление: в работе параметра none директивы smtp_auth. -- Sergey Kandaurov From sb на nginx.com Thu Sep 25 14:52:58 2025 From: sb на nginx.com (Sergey Budnevich) Date: Thu, 25 Sep 2025 15:52:58 +0100 Subject: [nginx-ru-announce] Important Announcement: All NGINX mailman mailing lists are retiring on September 30 Message-ID: <3D86F1C6-C446-4037-BE6B-F3AFAFB6ECF3@nginx.com> Hello All NGINX mailman mailing lists are retiring on September 30, as the NGINX development process has moved to GitHub. The mailing lists archives will remain accessible for historical reference at https://mailman.nginx.org You can find our GitHub repo here: https://github.com/nginx/nginx If you have questions about using NGINX or need technical help, visit the NGINX Community Forum at https://community.nginx.org. You can also find announcements, latest content, and our event schedule on the forum. The forum aims to provide an engaging environment to interact with our community. To file bugs, please create a GitHub issue. Subscribe to GitHub for release announcements. To submit a security alert, please report a vulnerability within the nginx GitHub repository, or directly to the F5 Security Incident Response Team at F5SIRT на f5.com. Thank you for being a part of the NGINX community. We appreciate your participation in the mailing lists over the years, and look forward to seeing you on GitHub and the NGINX Community Forum in the future.