Доступны корректирующие выпуски nginx 1.6.1 (http://mailman.nginx.org/pipermail/nginx-announce/2014/00014...) и 1.7.4 (http://mailman.nginx.org/pipermail/nginx-announce/2014/00014...), в которых устранена уязвимость (http://mailman.nginx.org/pipermail/nginx-announce/2014/00014...) (CVE-2014-3556) в реализации механизма STARTTLS, проявляющаяся только при использовании nginx в роли SMTP-прокси. Уязвимость проявляется начиная с выпуска 1.5.6 и вызвана продолжением обработки pipelined-команд после команды STARTTLS, что позволяло злоумышленнику при проведении MITM-атаки организовать подстановку своих команд в рамках установленного клиентом SSL-сеанса.
Кроме устранения уязвимости и исправления ошибок в nginx 1.7.4 добавлена поддержка сборки с библиотеками BoringSSL (http://www.opennet.me/opennews/art.shtml?num=40049) и LibreSSL (http://www.opennet.me/opennews/art.shtml?num=40184) (форки OpenSSL от Google и OpenBSD). В новом выпуске также изменён метод экранирования символов в URI (используются шестнадцатеричные цифры в верхнем регистре).
URL: http://mailman.nginx.org/pipermail/nginx-announce/2014/00014...
Новость: http://www.opennet.me/opennews/art.shtml?num=40329
> используются шестнадцатеричные цифры в верхнем регистреВы хоть сами поняли, что написали?
> Вы хоть сами поняли, что написали?А что не правильного?
Запись шестнадцатеричных цифр в верхнем регистре
0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, F
Запись шестнадцатеричных цифр в нижнем регистре
0, 1, 2, 3, 4, 5, 6, 7, 8, 9, a, b, c, d, e, f
> Вы хоть сами поняли, что написали?Чувак, чтению букваря обучают в другом месте.
То есть счётчик http://dayswithoutansslexploit.com/ снова сбросится скоро...
... сбросился. :)