Вышел nginx 1.27.0

29 мая 2024 года опубликован выпуск высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера nginx 1.27.0 c устранением 4 уязвимостей в реализации HTTP/3. Версия nginx 1.26.0 вышла в апреле. Релиз nginx 1.25.0 состоялся в мае 2023 года.

В следующем году на базе основной ветки 1.27.x будет сформирована стабильная ветка nginx 1.28. Исходный код проекта nginx написан на языке C и распространяется под лицензией BSD.

По данным OpenNET, основные изменения в стабильной ветке 1.27 связаны с устранением серьёзных ошибок и уязвимостей. В новом выпуске устранены 4 уязвимости, затрагивающие экспериментальный модуль ngx_http_v3 (отключён по умолчанию), обеспечивающий поддержку протокола HTTP/3, использующего протокол QUIC в качестве транспорта для HTTP/2. Проблемы проявляются только при активации модуля ngx_http_v3_module и выставлении опции quic в директиве listen. О подверженности уязвимостям форков Angie и FreeNginx пока ничего не сообщается.

Уязвимость CVE-2024-34161 приводит к утечке содержимого памяти рабочего процесса на системах с MTU, выставленным в значение больше 4096 байт. Утечка содержимого памяти возникает в случае отправки кадров CRYPTO, используемых при согласовании соединения, на стадии после отправки клиентом финализирующего сообщения.

Уязвимости CVE-2024-31079, CVE-2024-32760 и CVE-2024-35200 вызваны повреждением памяти и позволяют удалённому атакующему добиться аварийного завершения рабочего процесса nginx через установку специально оформленного сеанса на базе протокола QUIC. При этом для уязвимостей CVE-2024-31079 и CVE-2024-32760 не исключаются и другие последствия атаки (потенциальная возможность выполнения кода атакующего?). Детали не приводятся, но судя по исправлениям в коде уязвимости вызваны