nginx-1.28.3-RELEASE

2026-05-13 09:36:42 +00:00 · 2026-03-19 18:53:00 +04:00 · 2026-03-19 18:53:00 +04:00 · 9b958b0007
commit 9b958b0007
parent 78f5814877
1 changed files with 131 additions and 0 deletions
--- a/docs/xml/nginx/changes.xml
+++ b/docs/xml/nginx/changes.xml
@ -5,6 +5,137 @@
 <change_log title="nginx">


+<changes ver="1.28.3" date="2026-03-24">
+
+<change type="security">
+<para lang="ru">
+при обработке COPY- или MOVE-запроса в location'е с включённым
+alias могло произойти переполнение буфера, что позволяло
+атакующему модифицировать исходный или целевой путь за пределы
+document root (CVE-2026-27654).<br/>
+Спасибо Calif.io при содействии Claude и Anthropic Research.
+</para>
+<para lang="en">
+a buffer overflow might occur while handling a COPY or MOVE
+request in a location with "alias", allowing an attacker
+to modify the source or destination path outside of the
+document root (CVE-2026-27654).<br/>
+Thanks to Calif.io in collaboration with Claude and Anthropic Research.
+</para>
+</change>
+
+<change type="security">
+<para lang="ru">
+обработка специально созданного mp4-файла модулем ngx_http_mp4_module
+на 32-битных платформах могла приводить к падению рабочего процесса,
+а также потенциально могла иметь другие последствия (CVE-2026-27784).<br/>
+Спасибо Prabhav Srinath (sprabhav7).
+</para>
+<para lang="en">
+processing of a specially crafted mp4 file by the ngx_http_mp4_module
+on 32-bit platforms might cause a worker process crash,
+or might have potential other impact (CVE-2026-27784).<br/>
+Thanks to Prabhav Srinath (sprabhav7).
+</para>
+</change>
+
+<change type="security">
+<para lang="ru">
+обработка специально созданного mp4-файла модулем ngx_http_mp4_module
+могла приводить к падению рабочего процесса, а также потенциально
+могла иметь другие последствия (CVE-2026-32647).<br/>
+Спасибо Xint Code и Pavel Kohout (Aisle Research).
+</para>
+<para lang="en">
+processing of a specially crafted mp4 file by the ngx_http_mp4_module
+might cause a worker process crash, or might have potential
+other impact (CVE-2026-32647).<br/>
+Thanks to Xint Code and Pavel Kohout (Aisle Research).
+</para>
+</change>
+
+<change type="security">
+<para lang="ru">
+если использовался метод аутентификации CRAM-MD5 или APOP, то
+в рабочем процессе мог произойти segmentation fault,
+если были разрешены повторные попытки аутентификации (CVE-2026-27651).<br/>
+Спасибо Arkadi Vainbrand.
+</para>
+<para lang="en">
+a segmentation fault might occur in a worker process
+if the CRAM-MD5 or APOP authentication methods were used
+and authentication retry was enabled (CVE-2026-27651).<br/>
+Thanks to Arkadi Vainbrand.
+</para>
+</change>
+
+<change type="security">
+<para lang="ru">
+атакующий мог использовать записи PTR DNS чтобы вставить данные
+в auth_http-запросы, а также в команду XCLIENT в SMTP-соединении
+к бекенду (CVE-2026-28753).<br/>
+Спасибо Asim Viladi Oglu Manizada, Colin Warren,
+Xiao Liu (Yunnan University), Yuan Tan (UC Riverside)
+и Bird Liu (Lanzhou University).
+</para>
+<para lang="en">
+an attacker might use PTR DNS records to inject data in
+auth_http requests, as well as in the XCLIENT command in
+the backend SMTP connection (CVE-2026-28753).<br/>
+Thanks to Asim Viladi Oglu Manizada, Colin Warren,
+Xiao Liu (Yunnan University), Yuan Tan (UC Riverside),
+and Bird Liu (Lanzhou University).
+</para>
+</change>
+
+<change type="security">
+<para lang="ru">
+SSL handshake мог завершиться успешно при том, что OCSP
+отклонил клиентский сертификат в модуле stream (CVE-2026-28755).<br/>
+Спасибо Mufeed VH из Winfunc Research.
+</para>
+<para lang="en">
+SSL handshake might succeed despite OCSP rejecting a client
+certificate in the stream module (CVE-2026-28755).<br/>
+Thanks to Mufeed VH of Winfunc Research.
+</para>
+</change>
+
+<change type="change">
+<para lang="ru">
+теперь nginx ограничивает размер и частоту отправки пакетов
+QUIC stateless reset.
+</para>
+<para lang="en">
+now nginx limits the size and rate of QUIC stateless reset packets.
+</para>
+</change>
+
+<change type="bugfix">
+<para lang="ru">
+получение QUIC-пакета в другом рабочем процессе
+могло приводить к разрыву соединения.
+</para>
+<para lang="en">
+receiving a QUIC packet by a wrong worker process
+could cause the connection to terminate.
+</para>
+</change>
+
+<change type="bugfix">
+<para lang="ru">
+в модуле ngx_http_mp4_module.<br/>
+Спасибо Andrew Lacambra.
+</para>
+<para lang="en">
+in the ngx_http_mp4_module.<br/>
+Thanks to Andrew Lacambra.
+</para>
+</change>
+
+</changes>
+
+
 <changes ver="1.28.2" date="2026-02-04">

 <change type="security">