LINUX.ORG.RU

81
Всего сообщений: 1268

Релиз nginx 1.17.5

Группа Open Source

Состоялся релиз nginx 1.17.5, содержащий исправления и улучшения.

Новшества:

  • добавили поддержку вызова ioctl(FIONREAD), если доступен, для того, чтобы избежать чтения из быстрого соединения в течение длительного времени;
  • устранили проблему с игнорирование неполных закодированных символов в конце URI-запроса;
  • исправили проблему с нормализацией последовательностей «/.» и «/..» в конце URI-запроса;
  • исправили директиву merge_slashes и ignore_invalid_headers;
  • исправили ошибку, возникающую при сборке nginx в MinGW-w64 gcc 8.1 и новее.

>>> Подробности

 

Satori ()

Nginx 1.17.4

Группа Open Source

В mainline-ветке nginx вышла версия 1.17.4. Изменения внесены в основном в реализацию протокола HTTP/2

  • Изменение: улучшено детектирование некорректного поведения клиентов в HTTP/2.
  • Изменение: в обработке непрочитанного тела запроса при возврате ошибок в HTTP/2.
  • Исправление: директива worker_shutdown_timeout могла не работать при использовании HTTP/2.
  • Исправление: при использовании HTTP/2 и директивы proxy_request_buffering в рабочем процессе мог произойти segmentation fault.
  • Исправление: на Windows при использовании SSL уровень записи в лог ошибки ECONNABORTED был «crit» вместо «error».
  • Исправление: nginx игнорировал лишние данные при использовании chunked transfer encoding.
  • Исправление: если использовалась директива return и при чтении тела запроса возникала ошибка, nginx всегда возвращал ошибку 500.
  • Исправлена обработка ошибок выделения памяти.

>>> Подробности

 ,

MrClon ()

Вышел NGINX Unit 1.11.0

Группа Open Source

19 сентября 2019 года состоялся релиз сервера приложений NGINX Unit 1.11.0.
Основные особенности:


  • В сервер встроена возможность самостоятельной отдачи статического контента без обращения к внешнему серверу http. В итоге сервер приложений хотят превратить в полноценный веб-сервер со встроенными средствами построения веб-сервисов. Для раздачи контента достаточно указать в настройках корневой каталог

    ( читать дальше... )

>>> Подробности

 ,

Zhbert ()

В nginx исправлены три бага, приводящих к излишнему потреблению памяти

Группа Open Source

В веб-сервере nginx выявлено три проблемы (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516), приводившие к излишнему потреблению памяти при использовании модуля ngx_http_v2_module и реализовываемого им протокола HTTP/2. Проблеме подвержены версии с 1.9.5 по 1.17.2. Исправления внесены в nginx 1.16.1 (стабильная ветка) и 1.17.3 (основная ветка). Проблемы были обнаружены Jonathan Looney из Netflix.

В релиз 1.17.3 вошли ещё два исправления:

  • Исправление: при использовании сжатия в логах могли появляться сообщения «zero size buf»; ошибка появилась в 1.17.2.
  • Исправление: при использовании директивы resolver в SMTP прокси-сервере в рабочем процессе мог произойти segmentation fault.

>>> Подробности

 

MrClon ()

Nginx 1.17.2

Группа Open Source

Состоялся очередной релиз в текущей mainline ветке веб-сервера nginx. В ветке 1.17 идёт активная разработка, в то время как в текущую стабильную ветку (1.16) вносятся только исправления ошибок.

  • Изменение: минимальная поддерживаемая версия zlib - 1.2.0.4. Спасибо Илье Леошкевичу.
  • Изменение: метод $r->internal_redirect() встроенного перла теперь ожидает закодированный URI.
  • Добавление: теперь с помощью метода $r->internal_redirect() встроенного перла можно перейти в именованный location.
  • Исправление: в обработке ошибок во встроенном перле.
  • Исправление: на старте или во время переконфигурации мог произойти segmentation fault, если в конфигурации использовалось значение hash bucket size больше 64 килобайт.
  • Исправление: при использовании методов обработки соединений select, poll и /dev/poll nginx мог нагружать процессор во время небуферизованного проксирования и при проксировании WebSocket-соединений.
  • Исправление: в модуле ngx_http_xslt_filter_module.
  • Исправление: в модуле ngx_http_ssi_filter_module.

>>> Changelog

 

MrClon ()

Nginx 1.17.1

Группа Open Source

Состоялся релиз nginx 1.17.1. 1.17 это текущая mainline ветка nginx, в этой ветке ведётся активная разработка веб-сервера. Текущей стабильной веткой nginx является 1.16. Первый, и последний на данный момент, релиз этой ветки состоялся 23 апреля

  • Добавление: директива limit_req_dry_run.
  • Добавление: при использовании директивы hash в блоке upstream пустой ключ хэширования теперь приводит к переключению на round-robin балансировку. Спасибо Niklas Keller.
  • Исправление: в рабочем процессе мог произойти segmentation fault, если использовалось кэширование и директива image_filter, а ошибки с кодом 415 перенаправлялись с помощь директивы error_page; ошибка появилась в 1.11.10.
  • Исправление: в рабочем процессе мог произойти segmentation fault, если использовался встроенный перл; ошибка появилась в 1.7.3.

>>> Changelog

 

MrClon ()

Nginx 1.17.0

Группа Open Source

Состоялся первый релиз в новой mainline ветке веб-сервера nginx

  • Добавление: директивы limit_rate и limit_rate_after поддерживают переменные;
  • Добавление: директивы proxy_upload_rate и proxy_download_rate в модуле stream поддерживают переменные;
  • Изменение: минимальная поддерживаемая версия OpenSSL - 0.9.8;
  • Изменение: теперь postpone-фильтр собирается всегда;
  • Исправление: директива include не работала в блоках if и limit_except;
  • Исправление: в обработке byte ranges.

>>> Changelog

 

MrClon ()

F5 Networks купила Nginx Inc.

Группа Open Source

Сиэтлская компания F5 Networks, больше всего известная своими аппаратными LBA, объявила о приобретении Nginx. Сумма сделки составила приблизительно $670 млн.

F5 рассчитывают внедрить в Nginx свои наработки в области безопасности, а также использовать Nginx в своих облачных продуктах. По словам Франсуа Локо-Дону, СЕО F5, слияние позволит клиентам компании значительно ускорить разработку контейнеризируемых приложений, а Nginx в свою очередь получит еще большие возможности в крупном бизнесе.

Руководители обеих компаний отдельно отметили, что одним из основных условий, без которых сделка бы не состоялась, было сохранение открытости Nginx. Команда разработки, в том числе Игорь Сысоев и Максим Коновалов, продолжит развивать его уже в составе F5.

>>> Подробности

 ,

l0stparadise ()

Уязвимость в Nginx Unit (CVE-2019-7401)

Группа Безопасность

Выпущен Unit 1.7.1, исправляющий уязвимость CVE-2019-7401, которой подвержены все версии Unit с 0.3 по 1.7.

Уязвимость позволяет вызвать переполнение буфера в памяти процесса роутера при обработке специально созданного запроса. Это может привести к отказу в обслуживании (краху процесса роутера) и другим неопределенным последствиям.

Также версия 1.7.1 исправляет ошибку, появившеюся в 1.7 и не позволяющую установить модуль Go без предварительной сборки самого Unit-демона.

Разработчики сообщили что Unit 1.8 с поддержкой внутренней маршрутизации запросов и экспериментального модуля Java запланирован на конец февраля.

Nginx Unit – сервер приложений, управляющий приложениями на ряде языков (Python, PHP, Go, Perl, Ruby, JavaScript) и конфигурируемый через RESTful JSON API.

>>> Подробности

 , , ,

MrClon ()

Nginx 1.15.6 и 1.14.1 с исправлениями уязвимостей

Группа Безопасность

Вышли версии nginx 1.15.6 и 1.14.1, в которых исправлены три уязвимости:

  • CVE-2018-16843 и CVE-2018-16844 — чрезмерное потребление памяти и CPU в модуле ngx_http_v2_module, реализующем поддержку протокола HTTP/2.
  • CVE-2018-16845 — отправка клиенту содержимого памяти рабочего процесса при использовании модуля ngx_http_mp4_module

Для эксплуатации первых двух уязвимостей достаточно наличия параметра http2 директивы listen. Эксплуатация CVE-2018-16845 требует директиву mp4 и специально подготовленного mp4-файла.

Также в nginx 1.15.6 исправлен баг, из-за которого nginx, собранный с OpenSSL 1.1.0, но работающий с OpenSSL 1.1.1, всегда разрешал использование протокола TLS 1.3. И добавлен ряд директив, определяющих поведение TCP keepalive (использование параметра сокета SO_KEEPALIVE) в модулях http бэкендов proxy, fastcgi, grpc, memcached/ scgi? uwsgi

Патч, исправляющий CVE-2018-16845

>>> Подробности

 , ,

MrClon ()

Вышел nginx 1.15.4

Группа Open Source

Вышел nginx 1.15.4, минорное обновление текущей mainline-ветки 1.15.*

Список изменений

  • Добавление: теперь директиву ssl_early_data можно использовать с OpenSSL.
  • Исправление: в модуле ngx_http_uwsgi_module. Спасибо Chris Caputo. (прим. Что именно исправлено, не уточняется).
  • Исправление: соединения к некоторым gRPC-бэкендам могли не кэшироваться при использовании директивы keepalive.
  • Исправление: при использовании директивы error_page для перенаправления ошибок, возникающих на ранних этапах обработки запроса, в частности ошибок с кодом 400, могла происходить утечка сокетов.
  • Исправление: директива return при возврате ошибок не изменяла код ответа, если запрос был перенаправлен с помощью директивы error_page.
  • Исправление: стандартные сообщения об ошибках и ответы модуля ngx_http_autoindex_module содержали атрибут bgcolor, что могло приводить к их некорректному отображению при использовании пользовательских настроек цветов в браузерах. Спасибо Nova DasSarma.
  • Изменение: уровень логгирования ошибок SSL «no suitable key share» и «no suitable signature algorithm» понижен с уровня crit до info.

>>> Changelog

 

MrClon ()

Вышел nginx 1.15.3

Группа Open Source

Вышел nginx 1.15.3, минорное обновление текущей mainline-ветки 1.15.*

Список изменений

  • Добавление: теперь TLSv1.3 можно использовать с BoringSSL.
  • Добавление: директива ssl_early_data, сейчас доступна при использовании BoringSSL.
  • Добавление: директивы keepalive_timeout и keepalive_requests в блоке upstream.
  • Исправление: модуль ngx_http_dav_module при копировании файла поверх существующего файла с помощью метода COPY не обнулял целевой файл.
  • Исправление: модуль ngx_http_dav_module при перемещении файла между файловыми системами с помощью метода MOVE устанавливал нулевые права доступа на результирующий файл и не сохранял время изменения файла.
  • Исправление: модуль ngx_http_dav_module при копировании файла с помощью метода COPY для результирующего файла использовал права доступа по умолчанию.
  • Изменение: некоторые клиенты могли не работать при использовании HTTP/2; ошибка появилась в 1.13.5.
  • Исправление: nginx не собирался с LibreSSL 2.8.0.

>>> Changelog

 

MrClon ()

Вышел nginx 1.15.0

Группа Open Source

Вышел nginx 1.15.0 (это первая версия новой mainline-ветки 1.15).

Список изменений

  • Изменение: директива «ssl» теперь считается устаревшей; вместо неё следует использовать параметр ssl директивы listen.
  • Изменение: теперь при использовании директивы listen с параметром ssl nginx определяет отсутствие SSL-сертификатов при тестировании конфигурации.
  • Добавление: теперь модуль stream умеет обрабатывать несколько входящих UDP-пакетов от клиента в рамках одной сессии.
  • Исправление: в директиве proxy_cache_valid можно было указать некорректный код ответа.
  • Исправление: nginx не собирался gcc 8.1.
  • Исправление: логгирование в syslog останавливалось при изменении локального IP-адреса.
  • Исправление: nginx не собирался компилятором clang, если был установлен CUDA SDK; ошибка появилась в 1.13.8.
  • Исправление: при использовании unix domain listen-сокетов на FreeBSD в процессе обновления исполняемого файла в логе могли появляться сообщения «getsockopt(TCP_FASTOPEN) ... failed».
  • Исправление: nginx не собирался на Fedora 28.
  • Исправлено поведение при использовании директивы limit_req (заданная скорость обработки запросов могла не соблюдаться).
  • Исправлена обработка адресов клиентов при использовании unix domain listen-сокетов для работы с датаграммами на Linux.
  • Исправлена обработка ошибок выделения памяти.

>>> Скачать
>>> Changelog

 

MrClon ()

Новый сервер приложений - Nginx Unit

Группа Open Source

На конференции NginxConf представлен новый application server - Nginx Unit

Сейчас поддерживаются приложения на языках

  • go
  • php
  • python

Доступны репозитории для rhel/centos и debian/ubuntu

Код проекта с полной историей коммитов доступен на github. Обещают принимать pull request'ы от всех желающих

Официальный сайт: http://unit.nginx.org

GitHub: https://github.com/nginx/unit

Пример настройки + сопряжение с nginx есть в статье на хабре ( https://habrahabr.ru/company/itsumma/blog/337346/ )

Для тех, кто не в теме: application server это не веб-сервер и тем более не reverse proxy. Его задача

  • запуск приложений
  • предоставление к ним доступа ( обычно по протоколу http )

Т.е. это замена не nginx или apache, а php-fpm и uwsgi. И дальний родственник tomcat'а ;)

Конфигурирование Nginx Unit пока сделано, хмм..., довольно необычно, через REST API поверх unix socket

>>> Подробности

 

router ()

Релиз nginx 1.12.0

Группа Open Source

Представлен новый релиз высокопроизводительного HTTP-сервера nginx.

( читать дальше... )

>>> Полный список изменений

 ,

Valman_new ()

Локальное повышение привилегий в nginx (CVE-2016-1247)

Группа Безопасность

В nginx обнаружена уязвимость, позволяющая локальному злоумышленнику с правами www-data повысить привилегии до root.

Уязвимости подвержены как минимум Debian 8, Ubuntu 14.04, Ubuntu 16.04, Ubuntu 16.10, RHEL и Fedora (уязвимости присвоен низкий приоритет, так как стандартные политики SELinux ограничивают возможности её эксплуатации или делают эксплуатацию невозможной), openSUSE.

Исправляющие уязвимость обновления выпущены для Debian и Ubuntu, информация о других дистрибутивах требует уточнения.

Доступен эксплоит.

>>> Подробности

 ,

MrClon ()

Вышел NGINX Plus R7 с поддержкой HTTP/2

Группа Проприетарное ПО

NGINX Inc. объявила о выходе новой версии коммерческой ветки сервера nginx. Главным нововведением разработчики называют полноценную поддержку протокола HTTP/2.

На данный момент nginx работает в качестве «HTTP/2 шлюза». Обмен данными с браузером ведется по протоколу HTTP/2, тогда как соединение с бэкендами (fastcgi, wsgi и т.п.) по-прежнему работает по HTTP/1.x. Сохранена обратная совместимость, чтобы пользователи, чьи браузеры не поддерживают HTTP/2, также могли заходить на сайты, работающие по новому протоколу. Для идентификации поддержки браузером HTTP/2 используется протокол ALPN (Application Layer Protocol Negotiation).

Замечание для пользователей SPDY. Поскольку HTTP/2 является развитием протокола SPDY, одновременная работа не предусмотрена. Версия с поддержкой HTTP/2 выпущена в качестве отдельного пакета, при обычном обновлении сервер не станет работать по новому протоколу.

Для свободной версии nginx HTTP/2 на данный момент доступен в виде ранней альфа версии. Патч можно скачать здесь.

Также в данном релизе были внесены следующие изменения:

  • Значительно увеличена производительность (по заявлению разработчиков - до девятикратного увеличения) за счет пулов потоков и асинхронного I/O. Также повышена производительность работы на многопроцессорных системах.
  • Улучшена работа с правами доступа, добавлена поддержка NTLM.
  • Улучшена детализация мониторинга и статистики
  • Переработан dashboard панели мониторинга (Скриншот)

>>> Подробности

 ,

l0stparadise ()

Проект nginx открыл исходные коды для балансировщика нагрузки

Группа Open Source

Стал доступен выпуск веб-сервера NGINX Plus R6, в котором кроме некоторого количества улучшений стали доступны исходные коды модуля для управления нагрузкой (load balancing). Всего в выпуске представлено следующее:

  • Балансировщик нагрузки
  • Новая панель управления для статистики
  • Поддержка ssl-аутентификации для email-трафика (IMAP, POP3, SMTP)

Более подробное описание улучшений и новых возможностей можно почитать здесь

>>> Подробности

 

msgxx ()

Вышел nginx 1.7.1

Группа Open Source

Вышел новый релиз основной ветки HTTP-сервера nginx 1.7.1. Основным улучшением является перенаправления в syslog логов, настраиваемых через директивы «error_log» и «access_log». Были добавлены переменные «$upstream_cookie_{имя}» и «$ssl_client_fingerprint».

Напомню, что по последним данным доля nginx среди http-серверов составляет 23.5%, а apache - 56.5%.

>>> Changelog

 

int13h ()

Состоялся релиз Nginx 1.4.7 / 1.5.12 с исправлением уязвимости переполнения буфера

Группа Безопасность

Почти неделю назад (18 марта 2014 года) состоялся очередной выпуск Nginx - HTTP-сервер и обратный прокси-сервер, а также почтовый прокси-сервер, написанный Игорем Сысоевым. В Nginx 1.4.7 была исправлена проблема переполнения буфера в SPDY, описанная в CVE-2014-0133. Наряду со стабильной версией вышла версия 1.5.12, в которой кроме исправления уязвимости вошли и другие нововведения. Lucas Molas, нашедший проблему переполнения буфера, ранее также находил подобную уязвимость в Nginx, что побудило автора выпустить версию 1.4.6, которая была посвящена устранению уязвимости.

>>> Страница загрузки

 ,

nt_crasher ()