Обновления nginx 1.29.7 и 1.28.3 с устранением 6 уязвимостей

Ср мар 25, 2026 8:56 am

Сформирован выпуск основной ветки nginx 1.29.7, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.28.3, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранено 6 уязвимостей, три из которых приводят к переполнению буфера. Четырём уязвимостям присвоен высокий уровень опасности (8.8 или 8.5 из 10).

CVE-2026-27654 - переполнение буфера в модуле ngx_http_dav_module, возникающее при обработке WebDAV-запросов COPY и MOVE при использовании в блоках "location" директивы "alias". Уязвимость позволяет изменить пути к файлам для обращения за пределы базового каталога. Проблема выявлена с использованием AI-модели Claude. CVE-2026-27784, CVE-2026-32647 - переполнения буферов в модуле ngx_http_mp4_module, возникающие при обработке специально оформленных файлов mp4. Не исключается, что эксплуатация уязвимости не ограничивается аварийным завершением рабочего процесса. CVE-2026-27651 - разыменование нулевого указателя при некорректном использовании методов аутентификации CRAM-MD5 или APOP. CVE-2026-28753 - возможность манипуляции с PTR-записями в DNS для подстановки данных атакующего в запросы auth_http и команду XCLIENT в SMTP-соединении к бэкенду. CVE-2026-28755 - обход результата OCSP-проверки сертификата в модуле stream.

Среди не связанных с безопасностью изменений в nginx 1.29.7

Добавлена поддержка протокола Multipath TCP (MPTCP), позволяющего доставлять пакеты одновременно по нескольким маршрутам через разные сетевые интерфейсы. Для включения в директиву "listen" добавлен параметр "multipath". В директиву "keepalive", используемую в блоке "upstream", добавлен параметр "local". При указании данного параметра, вместо совместного использования одного соединения к общему upstream-серверу, упоминаемому в разных блоках location и server, для каждого блока поддерживается отдельное соединение к upstream. В блоке "upstream" активирована по умолчанию директива "keepalive". При использовании в режиме прокси по умолчанию выставлена версия протокола HTTP/1.1 с включением режима keep-alive (в модуле ngx_http_proxy_module включена по умолчанию поддержка keep-alive и выставлено значение "1.1" в директиве "proxy_http_version" и прекращена отправка по умолчанию заголовка "Connection"). Для возвращения старого поведения, позволяющего обращаться к бэкендам, поддерживающим только HTTP/1.0, следует выставить настройки: proxy_http_version 1.0; proxy_set_header Connection "Close";

Источник: https://www.opennet.ru/opennews/art.shtml?num=65068