Nginx 1.30.0

1

2

Спустя год разработки, проект Nginx объявил о выходе новой стабильной ветки 1.30.0. В рамках подготовки стабильной версии было исправлено шесть уязвимостей, четыре из которых относятся к модулю обработки медиафайлов и протоколов аутентификации. Ключевым изменением стала поддержка HTTP/3 и QUIC, которая теперь считается готовой для продакшен-сред.

Исправленные уязвимости:

CVE-2026-27654: Переполнение буфера при обработке запросов COPY или MOVE в location с директивой alias может позволить злоумышленнику выйти за пределы корневой директории сайта.
CVE-2026-27784: Специально сформированный MP4-файл может вызвать падение рабочего процесса на 32-битных платформах.
CVE-2026-27651: Ошибка сегментации в рабочем процессе при использовании методов аутентификации CRAM-MD5 или APOP с включенной повторной попыткой аутентификации.
CVE-2026-28753: Использование PTR DNS-записей для внедрения данных в auth_http-запросы и команду XCLIENT в SMTP-соединении бэкенда.
CVE-2026-28755: Успешное завершение SSL-рукопожатия, несмотря на отклонение клиентского сертификата при OCSP-проверке в модуле stream.

Другие значимых нововведения:

HTTP Early Hints (103): Сервер может отправлять предварительные заголовки, не дожидаясь полной генерации ответа бэкендом, что ускоряет загрузку страниц.
Encrypted ClientHello (ECH): Функция конфиденциальности TLS, скрывающая имя запрашиваемого сайта от сетевых наблюдателей.
Sticky Sessions: Директива sticky в блоке upstream обеспечивает «привязку» сессий клиента к определенному серверу бэкенда.
Multipath TCP (MPTCP): Поддержка параметра multipath в директиве listen для повышения отказоустойчивости и пропускной способности на транспортном уровне.
Keep-Alive: Значение proxy_http_version по умолчанию изменено на 1.1, а заголовок Connection больше не отправляется прокси-сервером, что улучшает переиспользование соединений.
OpenSSL 4.0: Обеспечена совместимость с грядущей мажорной версией криптографической библиотеки.
geo-модуль: Директива include внутри блока geo теперь поддерживает wildcard-символы.

>>> Официальный анонс и changelog на nginx.org

>>> Релиз на GitHub

Ссылка

← Обновление безопасности: X.Org Server 21.1.22 и Xwayland 24.1.10

OpenBGPD 9.1 →

Все перечисленные уязвимости - в редкоиспользуемых опциональных фичах.

firkax ★★★★★
(15.04.26 11:11:41 MSK)

Ссылка

Интересная клоунада получилась

мальчик с плохим/промптом ИИ, сгенерировал новость где была упомянута MPTCP фича в релизе 1.29.[78]

Nginx 1.29.8 и FreeNginx 1.29.7

мальчика попинали, он переделал промпт и MPTCP из новости о релизе 1.29.[78] исчезла

теперь в 1.30.0 фича снова всплыла

круговорт MPTCP фичи в природе получается

gagarin0 ★
(15.04.26 12:21:40 MSK)
Последнее исправление: gagarin0 15.04.26 12:22:43 MSK (всего исправлений: 1)

Ответ на: комментарий от gagarin0 15.04.26 12:21:40 MSK

Интересная клоунада получилась

Клоунада только у тех, кто не понимает, в чём отличие mainline и stable веток у nginx’а и кичится этим. У остальных - просто вопрос.

Dimez ★★★★★
(15.04.26 12:26:28 MSK)
Последнее исправление: Dimez 15.04.26 12:26:59 MSK (всего исправлений: 1)

Ответ на: комментарий от Dimez 15.04.26 12:26:28 MSK

У остальных - вопрос.

какой вопрос, куда деваются фичи из changelog после нажатия кнопки «сгенерировать заново» ?

gagarin0 ★
(15.04.26 12:28:12 MSK)

Ответ на: комментарий от gagarin0 15.04.26 12:28:12 MSK

Например.

Dimez ★★★★★
(15.04.26 12:33:13 MSK)

Ссылка

А чем он лучше или хуже Angie? Имеет смысл?

MEZON ★★★★★
(15.04.26 15:59:39 MSK)

А есть способ запускать его в запирающемся контейнере с минимальным количеством слоёв и от доверенного издателя, без самостоятельной сборки?

Официальный nginx только на docker hub, и его проще выкинуть, чем найти хоть какую-то рабочую точку выхода в дважды сломанном интернете:

image: nginx:latest

...

Error response from daemon: pull access denied for nginx, repository does not exist or may require 'docker login': denied: <html><body><h1>403 Forbidden</h1>
Since Docker is a US company, we must comply with US export control regulations. In an effort to comply with these, we now block all IP addresses that are located in Cuba, Iran, North Korea, Republic of Crimea, Sudan, and Syria. If you are not in one of these cities, countries, or regions and are blocked, please reach out to 
</body></html>

emmawatsondtypants
(15.04.26 16:18:46 MSK)

Ответ на: комментарий от emmawatsondtypants 15.04.26 16:18:46 MSK

gallery.ecr.aws/nginx/nginx

docker.m.daocloud.io/nginx

gagarin0 ★
(15.04.26 16:24:21 MSK)
Последнее исправление: gagarin0 15.04.26 16:26:50 MSK (всего исправлений: 2)

Ссылка

А может кто объяснить, всем не нравится nginx по какой то причине, ТС написавший про него или это какая то паталогическая боязнь ИИ, доходящая до шизофрении - когда везде видится ИИ и это типа плохо? А то в прошлой новости про nginx были недовольные, тут вроде есть. Я что то явно упустил.

LightDiver ★★★★★
(15.04.26 22:53:16 MSK)

Ответ на: комментарий от LightDiver 15.04.26 22:53:16 MSK

К nginx вопросов нет, вопросы есть к промпту и модели ИИ, которых выбрал мальчик в погоне за звездочками и скором

gagarin0 ★
(15.04.26 23:03:42 MSK)

Ссылка

Ответ на: комментарий от MEZON 15.04.26 15:59:39 MSK

angie строго лучше nginx. Там и сборка с BoringSSL, и поддержка прометеуса из коробки, и ACME с DNS-челленджем, и наверняка много чего еще.

Для сравнения, в nginx выпустили плагин для ACME намного позже, написанный на расте, и без DNS-челленджа. Очевидно, где идет разработка, а где пилят бабки американских корпоратов.

Lrrr ★★★★★
(16.04.26 04:16:24 MSK)