Дистрибутив

Nginx 1.31: новий випуск з підтримкою HTTP Forward Proxy

Nginx 1.31: новий випуск з підтримкою HTTP Forward Proxy

Nginx 1.31 тепер доступний як останній основний випуск, що включає підтримку HTTP forward proxy, вдосконалене балансування навантаження, а також численні виправлення безпеки.

Основні поліпшення в Nginx 1.31

Основним поліпшенням є модуль ngx_http_tunnel_module, який дозволяє використовувати HTTP forward proxy через метод CONNECT. Цей випуск також вводить аутентифікацію проксі, використовуючи директиви auth_basic, satisfy і auth_delay.

Nginx 1.31 додає директиву least_time до блоку upstream, що дозволяє адміністраторам балансувати HTTP та стрім-трафік на основі часу відповіді замість кількості з’єднань або інших методів.

Поліпшення для стрім-модулів та безпеки

Для стрім-модулів директива proxy_ssl_alpn тепер дозволяє вибір протоколу ALPN під час підключення до SSL upstream серверів.

У плані безпеки Nginx 1.31 виправляє уразливість CVE-2026-42926, що стосується ін’єкції HTTP/2 запиту в ngx_http_proxy_module пов’язану з директивою proxy_set_body. Також усуває CVE-2026-42945, переповнення буфера в ngx_http_rewrite_module, яке може дозволити виконання довільного коду.

Цей випуск також виправляє CVE-2026-42946, переповнення буфера в ngx_http_scgi_module та ngx_http_uwsgi_module, а також CVE-2026-42934, переповнення буфера, пов’язане з декодуванням UTF-8 у директиві charset_map модуля ngx_http_charset_module.

Для HTTP/3 Nginx 1.31 виправляє CVE-2026-40460, уразливість підробки адрес, пов’язану з міграцією QUIC з’єднання. Виправляє також CVE-2026-40701, проблему використання після звільнення під час обробки DNS-відповідей, коли включена директива ssl_ocsp.

Покращення WebDAV модуля та інші зміни

Окрім виправлень CVE, Nginx тепер відхиляє HTTP/2 та HTTP/3 запити з заголовками, пов’язаними з з’єднанням, такими як Connection, Proxy-Connection, Keep-Alive, Transfer-Encoding та Upgrade. Заголовок TE приймається лише, якщо встановлений на trailers.

Модуль WebDAV також вдосконалений: Nginx тепер відхиляє запити COPY або MOVE, якщо джерело та місце призначення ідентичні або мають батьківсько-дитячу колекцію.

Інші зміни включають зменшення серйозності логування для певних помилок, пов’язаних з SSL, оновлення параметра налаштування для відключення модуля sticky у upstream, а також виправлення для поведінки HTTP/2 backend keepalive при використанні proxy_set_body або proxy_pass_request_body.

Nginx 1.31 тепер доступний через офіційні канали завантаження та на GitHub сторінці випуску проекту.

Пов'язані публікації: