• новости
• статьи
• блоги
• файлы
• пресс-релизы

Исправленные уязвимости:

• CVE-2026–27654: Переполнение буфера при обработке запросов COPY или MOVE в location с директивой alias может позволить злоумышленнику выйти за пределы корневой директории сайта.
• CVE-2026–27784: Специально сформированный MP4-файл может вызвать падение рабочего процесса на 32-битных платформах.
• CVE-2026–27651: Ошибка сегментации в рабочем процессе при использовании методов аутентификации CRAM-MD5 или APOP с включенной повторной попыткой аутентификации.
• CVE-2026–28753: Использование PTR DNS-записей для внедрения данных в auth_http-запросы и команду XCLIENT в SMTP-соединении бэкенда.
• CVE-2026–28755: Успешное завершение SSL-рукопожатия, несмотря на отклонение клиентского сертификата при OCSP-проверке в модуле stream.

Другие значимых нововведения:

• HTTP Early Hints (103): Сервер может отправлять предварительные заголовки, не дожидаясь полной генерации ответа бэкендом, что ускоряет загрузку страниц.
• Encrypted ClientHello (ECH): Функция конфиденциальности TLS, скрывающая имя запрашиваемого сайта от сетевых наблюдателей.
• Sticky Sessions: Директива sticky в блоке upstream обеспечивает «привязку» сессий клиента к определенному серверу бэкенда.
• Multipath TCP (MPTCP): Поддержка параметра multipath в директиве listen для повышения отказоустойчивости и пропускной способности на транспортном уровне.
• Keep-Alive: Значение proxy_http_version по умолчанию изменено на 1.1, а заголовок Connection больше не отправляется прокси-сервером, что улучшает переиспользование соединений.
• OpenSSL 4.0: Обеспечена совместимость с грядущей мажорной версией криптографической библиотеки.
• geo-модуль: Директива include внутри блока geo теперь поддерживает wildcard-символы.