nginx-1.27.4, nginx-1.26.3.

pluknet · pluknet · commit 9b3361153e49 · 2025-02-05T21:01:24.000+04:00
diff --git a/text/en/CHANGES b/text/en/CHANGES
@@ -1,4 +1,34 @@
 
+Changes with nginx 1.27.4                                        05 Feb 2025
+
+    *) Security: insufficient check in virtual servers handling with TLSv1.3
+       SNI allowed to reuse SSL sessions in a different virtual server, to
+       bypass client SSL certificates verification (CVE-2025-23419).
+
+    *) Feature: the "ssl_object_cache_inheritable", "ssl_certificate_cache",
+       "proxy_ssl_certificate_cache", "grpc_ssl_certificate_cache", and
+       "uwsgi_ssl_certificate_cache" directives.
+
+    *) Feature: the "keepalive_min_timeout" directive.
+
+    *) Workaround: "gzip filter failed to use preallocated memory" alerts
+       appeared in logs when using zlib-ng.
+
+    *) Bugfix: nginx could not build libatomic library using the library
+       sources if the --with-libatomic=DIR option was used.
+
+    *) Bugfix: QUIC connection might not be established when using 0-RTT;
+       the bug had appeared in 1.27.1.
+
+    *) Bugfix: nginx now ignores QUIC version negotiation packets from
+       clients.
+
+    *) Bugfix: nginx could not be built on Solaris 10 and earlier with the
+       ngx_http_v3_module.
+
+    *) Bugfixes in HTTP/3.
+
+
 Changes with nginx 1.27.3                                        26 Nov 2024
 
     *) Feature: the "server" directive in the "upstream" block supports the
diff --git a/text/en/CHANGES-1.26 b/text/en/CHANGES-1.26
@@ -1,4 +1,28 @@
 
+Changes with nginx 1.26.3                                        05 Feb 2025
+
+    *) Security: insufficient check in virtual servers handling with TLSv1.3
+       SNI allowed to reuse SSL sessions in a different virtual server, to
+       bypass client SSL certificates verification (CVE-2025-23419).
+
+    *) Bugfix: in the ngx_http_mp4_module.
+       Thanks to Nils Bars.
+
+    *) Workaround: "gzip filter failed to use preallocated memory" alerts
+       appeared in logs when using zlib-ng.
+
+    *) Bugfix: nginx could not build libatomic library using the library
+       sources if the --with-libatomic=DIR option was used.
+
+    *) Bugfix: nginx now ignores QUIC version negotiation packets from
+       clients.
+
+    *) Bugfix: nginx could not be built on Solaris 10 and earlier with the
+       ngx_http_v3_module.
+
+    *) Bugfixes in HTTP/3.
+
+
 Changes with nginx 1.26.2                                        14 Aug 2024
 
     *) Security: processing of a specially crafted mp4 file by the
diff --git a/text/ru/CHANGES.ru b/text/ru/CHANGES.ru
@@ -1,4 +1,35 @@
 
+Изменения в nginx 1.27.4                                          05.02.2025
+
+    *) Безопасность: недостаточная проверка в обработке виртуальных серверов
+       при использовании SNI в TLSv1.3 позволяла повторно использовать
+       SSL-сессию в контексте другого виртуального сервера, чтобы обойти
+       проверку клиентских SSL-сертификатов (CVE-2025-23419).
+
+    *) Добавление: директивы ssl_object_cache_inheritable,
+       ssl_certificate_cache, proxy_ssl_certificate_cache,
+       grpc_ssl_certificate_cache и uwsgi_ssl_certificate_cache.
+
+    *) Добавление: директива keepalive_min_timeout.
+
+    *) Изменение: при использовании zlib-ng в логах появлялись сообщения
+       "gzip filter failed to use preallocated memory".
+
+    *) Исправление: nginx не мог собрать библиотеку libatomic из исходных
+       текстов, если использовался параметр --with-libatomic=DIR.
+
+    *) Исправление: могла происходить ошибка установления соединения при
+       использовании 0-RTT в QUIC; ошибка появилась в 1.27.1.
+
+    *) Исправление: теперь nginx игнорирует пакеты согласования версий QUIC
+       от клиентов.
+
+    *) Исправление: nginx не собирался на Solaris 10 и более ранних с
+       модулем ngx_http_v3_module.
+
+    *) Исправления в HTTP/3.
+
+
 Изменения в nginx 1.27.3                                          26.11.2024
 
     *) Добавление: директива server в блоке upstream поддерживает параметр
diff --git a/text/ru/CHANGES.ru-1.26 b/text/ru/CHANGES.ru-1.26
@@ -1,4 +1,29 @@
 
+Изменения в nginx 1.26.3                                          05.02.2025
+
+    *) Безопасность: недостаточная проверка в обработке виртуальных серверов
+       при использовании SNI в TLSv1.3 позволяла повторно использовать
+       SSL-сессию в контексте другого виртуального сервера, чтобы обойти
+       проверку клиентских SSL-сертификатов (CVE-2025-23419).
+
+    *) Исправление: в модуле ngx_http_mp4_module.
+       Спасибо Nils Bars.
+
+    *) Изменение: при использовании zlib-ng в логах появлялись сообщения
+       "gzip filter failed to use preallocated memory".
+
+    *) Исправление: nginx не мог собрать библиотеку libatomic из исходных
+       текстов, если использовался параметр --with-libatomic=DIR.
+
+    *) Исправление: теперь nginx игнорирует пакеты согласования версий QUIC
+       от клиентов.
+
+    *) Исправление: nginx не собирался на Solaris 10 и более ранних с
+       модулем ngx_http_v3_module.
+
+    *) Исправления в HTTP/3.
+
+
 Изменения в nginx 1.26.2                                          14.08.2024
 
     *) Безопасность: обработка специально созданного mp4-файла модулем
diff --git a/xml/en/security_advisories.xml b/xml/en/security_advisories.xml
@@ -26,6 +26,13 @@ Patches are signed using one of the
 
 <security>
 
+<item name="SSL session reuse vulnerability"
+      severity="medium"
+      cve="2025-23419"
+      good="1.27.4+, 1.26.3+"
+      vulnerable="1.11.4-1.27.3">
+</item>
+
 <item name="Buffer overread in the ngx_http_mp4_module"
       severity="low"
       advisory="https://mailman.nginx.org/pipermail/nginx-announce/2024/UUOCLLONPR6244YQYU65PO5LB7JDYCWM.html"
diff --git a/xml/index.xml b/xml/index.xml
@@ -27,6 +27,28 @@
 <year href="2009.html" year="2009" />
 </years>
 
+<event date="2025-02-05">
+<para>
+<link doc="en/download.xml">nginx-1.26.3</link>
+stable version has been released,
+with a fix for the
+<link doc="en/security_advisories.xml">SSL session reuse</link>
+vulnerability (CVE-2025-23419).
+</para>
+</event>
+
+<event date="2025-02-05">
+<para>
+<link doc="en/download.xml">nginx-1.27.4</link>
+mainline version has been released, featuring
+<link url="https://blog.nginx.org/blog/optimizing-resource-usage-for-complex-ssl-configurations">optimized
+resource usage for complex SSL configurations</link>,
+and with a fix for the
+<link doc="en/security_advisories.xml">SSL session reuse</link>
+vulnerability (CVE-2025-23419).
+</para>
+</event>
+
 <event date="2025-01-14">
 <para>
 <link doc="en/docs/njs/index.xml">njs-0.8.9</link>
diff --git a/xml/versions.xml b/xml/versions.xml
@@ -9,6 +9,7 @@
 
 <download tag="mainline" changes="">
 
+<item ver="1.27.4" />
 <item ver="1.27.3" />
 <item ver="1.27.2" />
 <item ver="1.27.1" />
@@ -19,6 +20,7 @@
 
 <download tag="stable" changes="1.26">
 
+<item ver="1.26.3" />
 <item ver="1.26.2" />
 <item ver="1.26.1" />
 <item ver="1.26.0" />
