Обновление nginx 1.31.2 с устранением уязвимостей, эксплуатируемых через HTTP/3, HTTP2 и gRPC

17.06.2026 22:55 (MSK)

Сформирован выпуск основной ветки nginx 1.31.2, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.30.3, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранено 3 уязвимости:

CVE-2026-42530 - обращение к уже освобождённой памяти (use-after-free) в реализации протокола HTTP/3. Проблеме присвоен критический уровень опасности (9.2 из 10), не исключающий удалённое выполнение кода с правами рабочего процесса при обработке специально оформленного сеанса по протоколу QUIC.
CVE-2026-42055 - переполнение буфера в модулях ngx_http_proxy_v2_module и ngx_http_grpc_module, проявляющееся при проксировании специально оформленных запросов по протоколу HTTP/2 или к бэкенду gRPC. Проблеме присвоен критический уровень опасности (9.2 из 10), допускающий удалённое выполнение кода. Уязвимость проявляется в конфигурациях с настройкой "ignore_invalid_headers off;" и большим значением "large_client_header_buffers".
CVE-2026-48142 - чтение из области вне выделенного буфера при обработке специально оформленных запросов, приводящих к перекодированию текста в кодировке UTF-8 при помощи модуля ngx_http_charset_module. Уязвимость появляется в конфигурациях с директивой "charset_map" при наличии в блоке location директив "source_charset utf-8" и "charset другая_кодировка". Проблеме присвоен средний уровень опасности (6.3 из 10), допускающий утечку содержимого памяти рабочего процесса.

Помимо исправления уязвимостей в версии nginx 1.31.2 добавлена переменная $ssl_sigalgs, содержащая алгоритмы цифровых подписей, заявленные клиентом в сообщении ClientHello во время согласования TLS-соединения. Для формирования идентификатора, передаваемого через переменную $request_id, задействован алгоритм хэшрования SipHash-2-4.

исправить +2 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65712-nginx

Ключевые слова: nginx

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (8)

1.2, Аноним (2), 23:05, 17/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> HTTP/3. Проблеме присвоен критический уровень опасности (9.2 из 10), не исключающий удалённое выполнение кода Просто случайность... для сервера...

2.6, Аноним (-), 23:44, 17/06/2026 [^] [^^] [^^^] [ответить]	+/–
> Просто случайность... для сервера... Так на замену то что? Кроме опача других норм серверов и нету толком. А, еще caddy какой-то с RPS под нагрузкой в 3 раза ниже и жором оперативы своим GC, да какой-то там фреймоворк на том самом - из которого вы можете сделать сервер - если вы корпорация с клаудфлар размером. А лучше - просто клаудфлар.

3.8, Аноним (8), 23:49, 17/06/2026 [^] [^^] [^^^] [ответить]	+/–
Кроме Apache, nginx и HAproxy (как прокси) других серверов нет.

3.11, Аноним (11), 02:06, 18/06/2026 [^] [^^] [^^^] [ответить]	+/–
> Так на замену то что? То, что в стандартной либе языка на котором ты свой HTTP сервис пишешь. Перед ним HAproxy.

2.10, Аноним (-), 00:47, 18/06/2026 [^] [^^] [^^^] [ответить]

–1 +/–

сегодня среда, да? отправляешь письмо с запросом - в пятницу к вечеру получишь ответ, ведь ты поинт 146. выберешь там себе из списка, выходные отдыхаем, во вторник получишь подменю. а то да, технологии эти развивать - опасно же

не жизни людские, полюса/америку открывать - переживём

1.4, Ivan_83 (ok), 23:23, 17/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
http/1.1 и нет проблем + лёгкая отладка в случае чего.

2.7, нах. (?), 23:48, 17/06/2026 [^] [^^] [^^^] [ответить]	+/–
charset_map таки остается и любителям http/1.1 (правда, в реальности опасность околонулевая, но может упасть сервер и будешь гадать, с чего вдруг)

3.9, Ivan_83 (ok), 00:10, 18/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Ни разу не юзал charset_map.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: