Обновления nginx 1.29.7 и 1.28.3 с устранением 6 уязвимостей

Сформирован выпуск основной ветки nginx 1.29.7, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.28.3, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранено 6 уязвимостей, три из которых приводят к переполнению буфера. Четырём уязвимостям присвоен высокий уровень опасности (8.8 или 8.5 из 10).

  • CVE-2026-27654переполнение буфера в модуле ngx_http_dav_module, возникающее при обработке WebDAV-запросов COPY и MOVE при использовании в блоках «location» директивы «alias». Уязвимость позволяет изменить пути к файлам для обращения за пределы базового каталога. Проблема выявлена с использованием AI-модели Claude.
  • CVE-2026-27784, CVE-2026-32647переполнения буферов в модуле ngx_http_mp4_module, возникающие при обработке специально оформленных файлов mp4. Не исключается, что эксплуатация уязвимости не ограничивается аварийным завершением рабочего процесса.
  • CVE-2026-27651разыменование нулевого указателя при некорректном использовании методов аутентификации CRAM-MD5 или APOP.
  • CVE-2026-28753 — возможность манипуляции с PTR-записями в DNS для подстановки данных атакующего в запросы auth_http и команду XCLIENT в SMTP-соединении к бэкенду.
  • CVE-2026-28755обход результата OCSP-проверки сертификата в модуле stream.

Среди не связанных с безопасностью изменений в nginx 1.29.7

  • Добавлена поддержка протокола Multipath TCP (MPTCP), позволяющего доставлять пакеты одновременно по нескольким маршрутам через разные сетевые интерфейсы. Для включения в директиву «listen» добавлен параметр «multipath«.
  • В директиву «keepalive«, используемую в блоке «upstream«, добавлен параметр «local». При указании данного параметра, вместо совместного использования одного соединения к общему upstream-серверу, упоминаемому в разных
    блоках location и server, для каждого блока поддерживается отдельное соединение к upstream.

  • В блоке «upstream» активирована по умолчанию директива «keepalive».
  • При использовании в режиме прокси по умолчанию выставлена версия протокола HTTP/1.1 с включением режима keep-alive (в модуле ngx_http_proxy_module включена по умолчанию поддержка keep-alive и выставлено значение «1.1» в директиве «proxy_http_version» и прекращена отправка по умолчанию заголовка «Connection»). Для возвращения старого поведения, позволяющего обращаться к бэкендам, поддерживающим только HTTP/1.0, следует выставить настройки: 
    
   proxy_http_version 1.0;
   proxy_set_header Connection "Close";

Источник: http://www.opennet.ru/opennews/art.shtml?num=65068