nginxのエコシステム内において、プロジェクトの主要な開発ブランチとその著名な独立フォークの両方に影響を与える二重リリースが登場しました。開発者たちは機能的な機能を継続的に改善しながら、同時にサーバーの完全性を脅かす脆弱性を修復しています。
最新バージョンであるnginx 1.29.8はメインラインブランチに属し、ここで新しい機能が導入されます。同時に、1.28.xレガシーラインは重大なバグ修正のみを受け取ります。この現在の軌跡は最終的に安定版1.30ブランチで終結します。プロジェクトはBSDライセンスの下で続き、そのコードベースはCで書かれています。
このリリースはmax_headersディレクティブを導入します。これはリクエストで許可されるHTTPヘッダーの数を制限し、このしきい値を超えるとサーバーは400エラーを発行します。この機能はFreeNginxから統合されました。さらに、開発者たちはOpenSSL 4.0との互換性を確保しており、現在アルファ段階にあります。includeディレクティブのユーティリティが拡張され、geoブロック内でマスクを許可するようになりました。これらの機能強化を超えて、103ステータスコードを処理するエラーが修正され、サブリクエスト内の$request_portおよび$is_request_port変数の不規則な動作が解決されました。
同時に、FreeNginx 1.29.7が発表されました。これはオリジナルプロジェクトの重要な設計者であるMaxim Douninによってキュレーションされたフォークです。FreeNginxは企業の影響から解放された自律的なコードベースとして位置付けられており、同様にBSDライセンスの下で配布されています。
FreeNginxのこの新バージョンでは、OpenSSL 4.0のサポートが複数のセキュリティ懸念事項の解決と並行して実装されました。開発者はngx_http_dav_module内のバッファオーバーフローを軽減しました。これはaliasディレクティブを使用する際にWebDAV COPYおよびMOVEリクエストの処理中に発生し、この欠陥はCVE-2026-27654と指定されました。さらに、DNS PTRレコード経由でのデータ操作を許可する欠陥(攻撃者がauth_httpリクエストとSMTPバックエンド接続中のXCLIENTコマンドに干渉することを可能にした)はCVE-2026-28753の識別子で対処されました。
翻訳元: https://meterpreter.org/nginx-1-29-8-and-freenginx-launch-with-critical-security-shields/
