Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимости в ngx_http_mp4_module
Сформирован выпуск основной ветки nginx 1.27.1, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.22.1, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранена уязвимость (CVE-2024-7347) в модуле ngx_http_mp4_module, приводящая к аварийному завершению рабочего процесса при обработке специально оформленного файла в формате MP4. Проблема проявляется начиная с выпуска 1.5.13 при сборке nginx с модулем ngx_http_mp4_module (не собирается по умолчанию) и использовании в настройках директивы mp4. Для устранения уязвимости в старых версиях можно использовать патч.Помимо уязвимости в выпуске nginx 1.27.1 также устранены ошибки в реализации протокола HTTP/3, переведён в разряд необязательных обработчик в модуле stream и решена проблема с игнорированием новых соединений HTTP/2 при плавном завершении рабочих процессов.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61704