Обновления nginx 1.29.7 и 1.28.3 с устранением 6 уязвимостей25.03.2026 07:00

Сформирован выпуск основной ветки nginx 1.29.7, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.28.3, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранено 6 уязвимостей, три из которых приводят к переполнению буфера. Четырём уязвимостям присвоен высокий уровень опасности (8.8 или 8.5 из 10).

  • CVE-2026–27654 — переполнение буфера в модуле ngx_http_dav_module, возникающее при обработке WebDAV-запросов COPY и MOVE при использовании в блоках «location» директивы «alias». Уязвимость позволяет изменить пути к файлам для обращения за пределы базового каталога. Проблема выявлена с использованием AI-модели Claude.

  • CVE-2026–27784, CVE-2026–32647 — переполнения буферов в модуле ngx_http_mp4_module, возникающие при обработке специально оформленных файлов mp4. Не исключается, что эксплуатация уязвимости не ограничивается аварийным завершением рабочего процесса.

  • CVE-2026–27651 — разыменование нулевого указателя при некорректном использовании методов аутентификации CRAM-MD5 или APOP.

  • CVE-2026–28753 — возможность манипуляции с PTR-записями в DNS для подстановки данных атакующего в запросы auth_http и команду XCLIENT в SMTP-соединении к бэкенду.

  • CVE-2026–28755 — обход результата OCSP-проверки сертификата в модуле stream.

Среди не связанных с безопасностью изменений в nginx 1.29.7

  • Добавлена поддержка протокола Multipath TCP (MPTCP), позволяющего доставлять пакеты одновременно по нескольким маршрутам через разные сетевые интерфейсы. Для включения в директиву «listen» добавлен параметр «multipath».

  • В директиву «keepalive», используемую в блоке «upstream», добавлен параметр «local». При указании данного параметра, вместо совместного использования одного соединения к общему upstream-серверу, упоминаемому в разных блоках location и server, для каждого блока поддерживается отдельное соединение к upstream.

  • В блоке «upstream» активирована по умолчанию директива «keepalive».

  • При использовании в режиме прокси по умолчанию выставлена версия протокола HTTP/1.1 с включением режима keep-alive (в модуле ngx_http_proxy_module включена по умолчанию поддержка keep-alive и выставлено значение »1.1» в директиве «proxy_http_version» и прекращена отправка по умолчанию заголовка «Connection»). Для возвращения старого поведения, позволяющего обращаться к бэкендам, поддерживающим только HTTP/1.0, следует выставить настройки: 
       proxy_http_version 1.0;
   proxy_set_header Connection "Close";



Источник: http://www.opennet.ru/opennews/art.shtml? num=65068

© OpenNet