Две седмици след миналото издание проектът nginx публикува две актуализации: основната версия 1.29.7, която продължава развитието на нови функции, и стабилната 1.28.3, предназначена единствено за поправки на критични грешки и уязвимости. И в двете издания са отстранени общо шест уязвимости, като три от тях са свързани с препълване на буфер, а четири са оценени с висок риск (8.8 или 8.5 по CVSS).
Сред най‑значимите проблеми е CVE‑2026‑27654 – уязвимост в модула ngx_http_dav_module, която се проявява при обработка на WebDAV заявки COPY и MOVE в комбинация с директивата „alias“. Тя позволява манипулация на пътищата към файлове и достъп извън основния каталог. Интересен детайл е, че проблемът е открит с помощта на AI модела Claude.
Две други уязвимости, CVE‑2026‑27784 и CVE‑2026‑32647, засягат модула ngx_http_mp4_module и се активират при обработка на специално оформени MP4 файлове. Според разработчиците е възможно последствията да не се ограничават само до срив на процеса. CVE‑2026‑27651 пък води до разименуване на нулев указател при неправилно използване на CRAM‑MD5 или APOP верификация. Открита е и възможност за манипулация на PTR DNS записи (CVE‑2026‑28753), която може да подмени данни в auth_http заявките и XCLIENT командите към SMTP бекенд. Последната уязвимост CVE‑2026‑28755 позволява заобикаляне на OCSP проверката в stream модула.
Нови функции в nginx 1.29.7
Освен корекциите, основната версия 1.29.7 включва и няколко значими подобрения. Добавена е поддръжка за Multipath TCP (MPTCP), което позволява едновременно предаване на пакети през различни мрежови интерфейси. За активиране е добавен параметърът „multipath“ към директивата „listen“.
Директивата „keepalive“ в блока „upstream“ получава нов параметър „local“. Той позволява всяка локация или сървър блок да поддържа собствено upstream‑свързване, вместо да споделя едно общо. Освен това „keepalive“ вече е активирана по подразбиране в upstream конфигурациите.
В прокси режима nginx преминава към HTTP/1.1 с включен keep‑alive по подразбиране. В модула ngx_http_proxy_module автоматично е активирана поддръжката на постоянни връзки, зададено е „proxy_http_version 1.1“ и е премахнато изпращането на заглавието „Connection“. За връщане към старото поведение, необходимо за бекенди, които поддържат само HTTP/1.0, трябва ръчно да се зададат съответните настройки.
