[nginx-ru-announce] nginx security advisory (CVE-2025-23419)

Ср Фев 5 17:23:13 UTC 2025

Была обнаружена проблема в кэшировании SSL-сессий в nginx.
Повторное использование SSL-сессии в контексте другого
виртуального сервера позволяло в некоторых конфигурациях
обойти проверку клиентских сертификатов (CVE-2025-23419).

Проблеме подвержен nginx 1.11.4 и новее, если он собран с OpenSSL
и разрешены протокол TLSv1.3 и повторное использование SSL-сессий
при помощи ssl_session_cache или ssl_session_tickets.

Проблема исправлена в nginx 1.26.3, 1.27.4.