The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновления nginx 1.29.7 и 1.28.3 с устранением 6 уязвимостей

25.03.2026 08:56 (MSK)

Сформирован выпуск основной ветки nginx 1.29.7, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.28.3, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранено 6 уязвимостей, три из которых приводят к переполнению буфера. Четырём уязвимостям присвоен высокий уровень опасности (8.8 или 8.5 из 10).

  • CVE-2026-27654 - переполнение буфера в модуле ngx_http_dav_module, возникающее при обработке WebDAV-запросов COPY и MOVE при использовании в блоках "location" директивы "alias". Уязвимость позволяет изменить пути к файлам для обращения за пределы базового каталога. Проблема выявлена с использованием AI-модели Claude.
  • CVE-2026-27784, CVE-2026-32647 - переполнения буферов в модуле ngx_http_mp4_module, возникающие при обработке специально оформленных файлов mp4. Не исключается, что эксплуатация уязвимости не ограничивается аварийным завершением рабочего процесса.
  • CVE-2026-27651 - разыменование нулевого указателя при некорректном использовании методов аутентификации CRAM-MD5 или APOP.
  • CVE-2026-28753 - возможность манипуляции с PTR-записями в DNS для подстановки данных атакующего в запросы auth_http и команду XCLIENT в SMTP-соединении к бэкенду.
  • CVE-2026-28755 - обход результата OCSP-проверки сертификата в модуле stream.

Среди не связанных с безопасностью изменений в nginx 1.29.7

  • Добавлена поддержка протокола Multipath TCP (MPTCP), позволяющего доставлять пакеты одновременно по нескольким маршрутам через разные сетевые интерфейсы. Для включения в директиву "listen" добавлен параметр "multipath".
  • В директиву "keepalive", используемую в блоке "upstream", добавлен параметр "local". При указании данного параметра, вместо совместного использования одного соединения к общему upstream-серверу, упоминаемому в разных блоках location и server, для каждого блока поддерживается отдельное соединение к upstream.
  • В блоке "upstream" активирована по умолчанию директива "keepalive".
  • При использовании в режиме прокси по умолчанию выставлена версия протокола HTTP/1.1 с включением режима keep-alive (в модуле ngx_http_proxy_module включена по умолчанию поддержка keep-alive и выставлено значение "1.1" в директиве "proxy_http_version" и прекращена отправка по умолчанию заголовка "Connection"). Для возвращения старого поведения, позволяющего обращаться к бэкендам, поддерживающим только HTTP/1.0, следует выставить настройки: 
    
   proxy_http_version 1.0;
   proxy_set_header Connection "Close";


  1. Главная ссылка к новости (https://nginx.org/#2026-03-24...)
  2. OpenNews: Выпуск nginx 1.29.6
  3. OpenNews: Nginx 1.29.5 с устранением уязвимости. Атаки, меняющие настройки nginx для перенаправления трафика
  4. OpenNews: Выпуск Angie 1.11.0, форка Nginx
  5. OpenNews: Обновления nginx 1.26.3 и 1.27.4 с устранением уязвимости, связанной с TLS
  6. OpenNews: Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реализации HTTP/3
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65068-nginx
Ключевые слова: nginx
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:20, 25/03/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• –1 +/
     

  • 1.6, Аноним (7), 11:08, 25/03/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –4 +/
    > переполнение буфера
    > переполнения буферов
    > разыменование нулевого указателя
    > Четырём уязвимостям присвоен высокий уровень
    > опасности (8.8 или 8.5 из 10).

    Ах, cишныe дыpeни!
    Никогда такого не было и вот опять 😊

     
     
  • 2.10, Аноним (9), 11:45, 25/03/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Можешь хоть одну заэксплойтить?
     
  • 2.19, Аноним (-), 16:30, 25/03/2026 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    > Ах, cишныe дыpeни!
    > Никогда такого не было и вот опять 😊

    В соседней новости пафосная пингора заскорила вообще 9.3 из 10 так то.

    Тот неловкий момент когда лекарство оказывается хуже болезни... мало того что не есть готовый сервак а полуфабрикат, так еще и позволяет сайт от и до перехватить. Ну вот и пользуемся - тем что есть и работает. Потому что с спасителями человечества как-то не задалось.

     
     
  • 3.21, Аноним (21), 18:20, 25/03/2026 [^] [^^] [^^^] [ответить]  
    		• –5 +/
    > В соседней новости пафосная пингора заскорила

    А у них негров линчуют)
    Дырение есть? Да.
    На дырявом? Да.
    От дырявых? Тоже да.

    > вообще 9.3 из 10 так то.

    Пф, да они просто слабаки
    Вот смотри CVE-2025-40244 uninit-value issue на 9.8

    Растоманам придется делать логические ошибки.
    А диды просто овнякнули и почти в 10ку.

    > Тот неловкий момент когда лекарство оказывается хуже болезни...

    Только в голове психов не разбирающихся в программировании)

     
     
  • 4.31, Аноним (-), 21:29, 26/03/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > А у них негров линчуют)

    А что делать? Это на практике неюзабельное нечто - которое вообще не сервак даже. Зато уже при всей бесполезности позволяет сайт угнать если в чем-то на его основе все же вляпаться. Правда это к счастью в основном проблема только клаудфлари.

    А остальные - юзают ngins поттому что ваши красивые теории это замечательно, но вебпагу ими не отсервируешь. Но вы можете "осилить" это - если оно ВАМ надо. Я за вас это делать не буду и просто вкачу apt install nginx при генерации темплейта.

     

  • 1.8, Аноним (8), 11:32, 25/03/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > Multipath TCP (MPTCP)

    А как этим пользоваться?

     
     
  • 2.11, Аноним (11), 12:05, 25/03/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    http и https в одном server.
     
  • 2.20, Аноним (-), 16:45, 25/03/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Multipath TCP (MPTCP)
    > А как этим пользоваться?

    Настраиваешь несколько адресов - и несколько маршрутов - и пользуешься себе. MPTCP умеет добавлять дополнительные потоки к тому же назначению.

     
  • 2.24, _ (??), 06:48, 26/03/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Multipath TCP (MPTCP)
    > А как этим пользоваться?

    Если ты не знаешь, то вряд ли тебе это надо.(С)

    Это такая старая (времён когда санки были большими) Ынтерпрайз штучка которую недавно и на линуксе наконец то доделали. Так то оно давно было - не не работало, как обычно :)
    И вот уже народ пошёл внедрЯТЪ(С)

    Гештальт закрыт, у соляры перед пингвином походу преимуществ больше вообще нет ;)

     
     
  • 3.32, Аноним (-), 21:36, 26/03/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Это такая старая (времён когда санки были большими) Ынтерпрайз штучка которую
    > недавно и на линуксе наконец то доделали. Так то оно давно было - не не работало,
    > как обычно :)

    А потом, как говорится, Вовочка вырос и превратил Марванну в бомжиху... в смысле с тех пор спеки MPTCP несколько раз менялись и конечно актуальная ревизия из RFC и проч - которую пингвин и реализует - уже ессно совсем не оно.

    Так что эта ваша марьванна заодно теперь еще и - не умеет в современный диалект оного!

     
     
  • 4.35, _ (??), 18:56, 27/03/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Could be, yes.
    But I'm not aware anymore, last time I touch Solaris ... OMG it was ~ 201[45] ...
    Have no idea what it is NOW ;-)
     

  • 1.22, Gemorroj (ok), 22:40, 25/03/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    https://github.com/webserver-llc/angie/releases/tag/Angie-1.11.4 а вот правильная ссылка на правильный сервер
     
     
  • 2.26, нах. (?), 09:50, 26/03/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    the fix was ported from nginx 1.29.7.
    the fix was ported from nginx 1.29.7.
    the fix was ported from nginx 1.29.7.
    the fix was ported from nginx 1.29.7.
    the fix was ported from nginx 1.29.7.

    интересно, что собираются делать импортозамещенные импортозамещатели со своим единственно-правильным сервером, если^Wкогда им интернет вдруг отключат.

    тем более что выделенный мильен неимпортозамещенных а самых даже настоящих ничем необеспеченных долларов они давно уже проели.

     
     
  • 3.27, Аноним (27), 10:13, 26/03/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Без интернета сервера не нужны.
     
     
  • 4.29, нах. (?), 11:22, 26/03/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Без интернета сервера не нужны.

    а, в принципе, да, годный бизнес-план.

     
  • 3.30, anonymous (??), 15:25, 26/03/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    а вы предлагаете игнорировать проблему что-ли?
     

  • 1.23, Аноним (23), 23:57, 25/03/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А почему про кадди нет таких новостей?
    Го всех победил?
     
     
  • 2.25, bublick (ok), 08:57, 26/03/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Потому что Кадди рулит
     
  • 2.33, Аноним (-), 21:38, 26/03/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Го всех победил?

    По жору RAM и CPU под нагрузкой типа нашествия AI ботов - он и правда побеждает в разы. Но вот это совсем не фича, увы. Поэтому про него новости и не пишут - вымерли от набегв нейрослопа.

     
  • 2.34, уп (?), 04:08, 27/03/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Потому что им мало кто пользуется и это не news-worthy.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру