开发者生态
morning
Nginx.org/En/Changes
2026-05-13
1 阅读
qwertox
nginx 1.31.0 的更改 2026 年 5 月 13 日 *) 安全性:使用“proxy_set_body”指令时,攻击者可能会将代理请求中的数据注入到 HTTP/2 后端 (CVE-2026-42926)。感谢 Winfunc Research 的 Mufeed VH。 *) 安全性:在处理 ngx_http_rewrite_module 特制的请求时,工作进程中可能会发生堆内存缓冲区溢出,可能导致任意代码执行 (CVE-2026-42945)。感谢林狮。 *) 安全性:在处理 ngx_http_scgi_module 或 ngx_http_uwsgi_module 特制的响应时,工作进程中可能会发生堆内存缓冲区过度读取,从而允许攻击者导致工作进程内存泄露或工作进程中的分段错误 (CVE-2026-42946)。感谢林狮。 *) 安全性:在通过“charset_map”指令处理从 UTF-8 解码的特殊发送响应时,工作进程中可能会发生堆内存缓冲区过度读取,从而允许攻击者导致工作进程内存的有限泄露或工作进程中的分段错误 (CVE-2026-42934)。感谢大卫·卡利尔。 *) 安全性:使用 HTTP/3 时,连接迁移的处理可能会导致新的 QUIC 流在验证之前接收新的客户端地址,从而允许攻击者造成地址欺骗 (CVE-2026-40460)。感谢罗德里戈·兰内斯。 *) 安全性:如果使用“ssl_ocsp”指令,则在 DNS 服务器响应处理期间可能会发生释放后使用,从而允许攻击者导致工作进程内存损坏或工作进程中的分段错误 (CVE-2026-40701)。感谢林狮。 *)更改:现在 nginx 拒绝带有“Connection”、“Proxy-Connection”、“Keep-Alive”、“Transfer-Encoding”、“Upgrade”标头行以及具有“trailers”以外任何值的“TE”的 HTTP/2 和 HTTP/3 请求。 *)更改:当源资源和目标资源相同或具有父子集合关系时,ngx_http_dav_module 现在会拒绝 COPY 或 MOVE 请求。 *) 更改:“无效警报”和“记录层故障”SSL 错误以及任何警报编号的“SSL 警报编号 N”的日志记录级别已从“crit”降低到“info”。 *)更改:现在可以使用 --without-http_upstream_sticky_module 配置选项禁用“粘性”模块; --without-http_upstream_sticky 配置选项已弃用。 *)功能:ngx_http_tunnel_module;支持对“auth_basic”、“satisfy”和“auth_delay”指令中的代理进行身份验证。 *)功能:“upstream”块内的“least_time”指令。 *)功能:流模块中的“proxy_ssl_alpn”指令。 *)修正:使用“proxy_set_body”或“proxy_pass_request_body”指令时,与 HTTP/2 后端的连接可能不会被缓存。 *)错误修复:如果第一行未完全读取,代理的 HTTP/0.9、SCGI 或 uWSGI 响应可能会错误传输。 2026 年 4 月 7 日 nginx 1.29.8 的更改 *) 功能:“max_headers”指令。感谢马克西姆·杜宁。 *) 功能:OpenSSL 4.0 兼容性。 *)功能:现在“geo”块内的“include”指令支持通配符。 *)错误修复:处理来自代理后端的 HTTP 103(早期提示)响应。 *)错误修复:$request_port 和 $is_request_port 变量在子请求中不可用。 nginx 1.29.7 的更改 2026 年 3 月 24 日 *) 安全性:在具有“别名”的位置处理 COPY 或 MOVE 请求时可能会发生缓冲区溢出,从而允许攻击者修改文档根目录之外的源或目标路径 (CVE-2026-27654)。感谢 Calif.io 与 Claude 和 Anthropic Research 的合作。 *) 安全性:32 位平台上的 ngx_http_mp4_module 处理特制的 mp4 文件可能会导致工作进程崩溃,或者可能产生潜在的其他影响 (CVE-2026-27784)。感谢 Prabhav Srinath (sprabhav7)。 *) 安全性:ngx_http_mp4_module 处理特制的 mp4 文件可能会导致工作进程崩溃,或者可能产生潜在的其他影响 (CVE-2026-32647)。感谢 Xint Code 和 Pavel Kohout(Aisle Research)。 *) 安全性:如果使用 CRAM-MD5 或 APOP 身份验证方法并启用身份验证重试,工作进程中可能会出现分段错误 (CVE-2026-27651)。感谢阿卡迪·万布兰德。 *) 安全性:攻击者可能使用 PTR DNS 记录在 auth_http 请求以及后端 SMTP 连接中的 XCLIENT 命令中注入数据 (CVE-2026-28753)。感谢 Asim Viladi Oglu Manizada、Colin Warren、Xiao Liu(云南大学)、Yuan Tan(加州大学河滨分校)和 Bird Liu(兰州大学)。 *) 安全性:尽管 OCSP 拒绝流模块中的客户端证书,SSL 握手仍可能成功 (CVE-2026-28755)。感谢 Winfunc Research 的 Mufeed VH。 *) 功能:“listen”指令的“multipath”参数。 *)特征:“upstream”块中“keepalive”指令的“local”参数。 *)更改:现在“上游”块中的“keepalive”指令通过以下方式启用