Обновление nginx 1.31.2 с устранением уязвимостей, эксплуатируемых через HTTP/3, HTTP2 и gRPC

17.06.2026 22:55 (MSK)

Сформирован выпуск основной ветки nginx 1.31.2, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.30.3, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранено 3 уязвимости:

CVE-2026-42530 - обращение к уже освобождённой памяти (use-after-free) в реализации протокола HTTP/3. Проблеме присвоен критический уровень опасности (9.2 из 10), не исключающий удалённое выполнение кода с правами рабочего процесса при обработке специально оформленного сеанса по протоколу QUIC.
CVE-2026-42055 - переполнение буфера в модулях ngx_http_proxy_v2_module и ngx_http_grpc_module, проявляющееся при проксировании специально оформленных запросов по протоколу HTTP/2 или к бэкенду gRPC. Проблеме присвоен критический уровень опасности (9.2 из 10), допускающий удалённое выполнение кода. Уязвимость проявляется в конфигурациях с настройкой "ignore_invalid_headers off;" и большим значением "large_client_header_buffers".
CVE-2026-48142 - чтение из области вне выделенного буфера при обработке специально оформленных запросов, приводящих к перекодированию текста в кодировке UTF-8 при помощи модуля ngx_http_charset_module. Уязвимость появляется в конфигурациях с директивой "charset_map" при наличии в блоке location директив "source_charset utf-8" и "charset другая_кодировка". Проблеме присвоен средний уровень опасности (6.3 из 10), допускающий утечку содержимого памяти рабочего процесса.

Помимо исправления уязвимостей в версии nginx 1.31.2 добавлена переменная $ssl_sigalgs, содержащая алгоритмы цифровых подписей, заявленные клиентом в сообщении ClientHello во время согласования TLS-соединения. Для формирования идентификатора, передаваемого через переменную $request_id, задействован алгоритм хэшрования SipHash-2-4.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65712-nginx

Ключевые слова: nginx

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (39)

1.2, Аноним (2), 23:05, 17/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–6 +/–
> HTTP/3. Проблеме присвоен критический уровень опасности (9.2 из 10), не исключающий удалённое выполнение кода Просто случайность... для сервера...

2.6, Аноним (-), 23:44, 17/06/2026 [^] [^^] [^^^] [ответить]	+/–
> Просто случайность... для сервера... Так на замену то что? Кроме опача других норм серверов и нету толком. А, еще caddy какой-то с RPS под нагрузкой в 3 раза ниже и жором оперативы своим GC, да какой-то там фреймоворк на том самом - из которого вы можете сделать сервер - если вы корпорация с клаудфлар размером. А лучше - просто клаудфлар.

3.8, Аноним (8), 23:49, 17/06/2026 [^] [^^] [^^^] [ответить]	+/–
Кроме Apache, nginx и HAproxy (как прокси) других серверов нет.

3.11, Аноним (11), 02:06, 18/06/2026 [^] [^^] [^^^] [ответить]	–5 +/–
> Так на замену то что? То, что в стандартной либе языка на котором ты свой HTTP сервис пишешь. Перед ним HAproxy.

4.13, An (??), 07:05, 18/06/2026 [^] [^^] [^^^] [ответить]	+/–
Что там для C в качестве стандартной либы для http и http2 не подскажешь?

5.14, Аноним (14), 07:55, 18/06/2026 [^] [^^] [^^^] [ответить]	+/–
Для C++ - userver от яндекса

5.15, funny.falcon (?), 09:28, 18/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
https://github.com/h2o/h2o

6.23, An (??), 14:52, 18/06/2026 [^] [^^] [^^^] [ответить]	+/–
Дак речь шла про стандартную библиотеку

5.30, Аноним (-), 17:48, 18/06/2026 [^] [^^] [^^^] [ответить]	+/–
> Что там для C в качестве стандартной либы для http и http2 > не подскажешь? Ну, lwan попробуй допустим. Неплохая штука в этом качестве, правда, без http/2. Зато можно микросервисы писать как гошники почти. С примерно тем же размером кода.

4.26, freehck (ok), 16:42, 18/06/2026 [^] [^^] [^^^] [ответить]

+/–

>> Так на замену то что?
> То, что в стандартной либе языка на котором ты свой HTTP сервис
> пишешь. Перед ним HAproxy.

И перед глазами картина: фуллстэк написал сервис на next, раздаёт через него всё, в том числе статику, заголовки кэширования не проставляет, метрик никаких наружу не отдаёт...

Думаете, редкость? А я за последние 8 лет минимум 6 раз давал по рукам разным горемыкам за такие финты. =)

4.29, Аноним (-), 17:46, 18/06/2026 [^] [^^] [^^^] [ответить]	+/–
> То, что в стандартной либе языка на котором ты свой HTTP сервис > пишешь. Перед ним HAproxy. Это немного не вебсервак. Это чей-то колхоз и наколень. Но это не готовый продукт и не рецепт готового продукта сам по себе как таковой.

3.17, localhostadmin (ok), 10:51, 18/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Недавно попробовал опенбсдшную связку из httpd и relayd. Это вполне удобно

4.21, Аноним (21), 12:46, 18/06/2026 [^] [^^] [^^^] [ответить]	+/–
Добро пожаловать вот в такое качество кода: https://www.reddit.com/r/openbsd/comments/yf0jj1/httpd_terminates_connection_i

5.24, localhostadmin (ok), 16:20, 18/06/2026 [^] [^^] [^^^] [ответить]	+/–
У меня больше вопросов к качеству кода создателя треда. Чего он в этот несчастный файл с ошибкой 404 накидал, что он стал 300 килобайт весить

6.36, Аноним (36), 01:31, 19/06/2026 [^] [^^] [^^^] [ответить]	+/–
Какая разница? Не дело веб сервера определять размер файла.

3.20, Mik Foxi (ok), 12:32, 18/06/2026 [^] [^^] [^^^] [ответить]	+/–
Caddy норм держит нагрузку и минимум потребляет. Разве что на отдаче статики может чуть меньше чем nginx вытягивает процентов на 5-10. Зато не надо заморачиваться в тюнинг, все из коробки.

4.27, freehck (ok), 17:00, 18/06/2026 [^] [^^] [^^^] [ответить]

+/–

> Caddy норм держит нагрузку и минимум потребляет. Разве что на отдаче статики
> может чуть меньше чем nginx вытягивает процентов на 5-10. Зато не
> надо заморачиваться в тюнинг, все из коробки.

Ни один реверс-прокси "из коробки" под нагрузкой не живёт, всё нужно тюнить в любом случае.

По поводу 5-10% — это Вы сильно льстите Caddy во-первых, а во-вторых даже если оно было б и так, то 10% это всё равно дофига. Плюс не забываем про дополнительную латентность, которую он привносит каждому запросу как тяжеловес.

Caddy можно, конечно, рассмотреть как вариант, если у вас мелкий местячковый сервис. Но если у вас десятки-сотни тысяч rps и десятки-сотни терабайт трафла в месяц — старый добрый Nginx будет и надёжнее, и дешевле.

5.35, Анонимм (??), 20:12, 18/06/2026 [^] [^^] [^^^] [ответить]

–1 +/–

> Но если у вас десятки-сотни тысяч rps и десятки-сотни терабайт трафла в месяц — старый добрый Nginx будет и надёжнее, и дешевле.

Странно видеть слово "надежнее" в новости про дырень имеющую "критический уровень опасности (9.2 из 10), не исключающий удалённое выполнение кода с правами рабочего процесса ...".

Если у тебя десятки-сотни тысяч rps и тебя поимели, то в любом случае будет больно.

4.31, Аноним (-), 17:50, 18/06/2026 [^] [^^] [^^^] [ответить]

+/–

> Caddy норм держит нагрузку и минимум потребляет.

Ну да, только в 3 раза проца жрет при одном и том же нашествии ботов и еще норовит RAM выжрать немеряно.

> Разве что на отдаче статики может чуть меньше чем nginx вытягивает процентов
> на 5-10. Зато не надо заморачиваться в тюнинг, все из коробки.

Самую чуточку меньше. Разика в три всего. Так что если ботов чуть подвалит - все как раз колапсирует нахрен. Зато все из коробки, заморачиваться не надо, все равно - сдох ваш хомпаг или что там - и буй с ним!

А нжинкс таки - ну, порседает немного скорость загрущки. Если еще его кешом подпереть - не, ботам походу вообще слабо это завалить. Разве что совсем грубым ддосом трафика нальют.

5.33, Аноним (33), 20:08, 18/06/2026 [^] [^^] [^^^] [ответить]

+/–

В три раза по процу разница это конечно существенно.
А что делать тем, кто не хочет голой ж0пой в окно светить и дарить RCE на право и на лево?

Ибо выбор "жрет проц и оперативку" и "угребещнеое шерето" весьма однозачный.
Те кто готовы ради скорости кущать овнокод в итоге будут поиметы.

5.37, Аноним (37), 07:22, 19/06/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Кек, выдали методичку про "в 3 раза", теперь бегают с ней, как с писанной торбой. А по ответам видно, что в самом деле никто и не внедрял и сравнений на живую не проводил.

6.38, freehck (ok), 13:32, 19/06/2026 [^] [^^] [^^^] [ответить]

+1 +/–

> Кек, выдали методичку про "в 3 раза"

Знаешь, я не в курсе, методичка это или нет, но я склонен думать, что под этой цифрой есть определённые обоснования.

Видишь ли, все тесты caddy vs nginx обычно проводятся на стоковых чистых caddy и nginx (и в этих тестах caddy отстаёт где-то на 15%). Однако меня как опса не особо интересует, что там в стоковой поставке. Меня интересует производительность с плагинами.

Для нужд полноценного SRE по каждому эндпоинту приложения требуется:
- считать метрику-гистограмму обращений
- считать количество траффика
- считать коды ответа

Я подозреваю, что раз в стоке есть просадка производительности, то скорее всего при активации плагинов ситуация кратно усугубится. Но скажу честно: я не смотрел и не проверял, поскольку разница в 15% производительности в стоковом варианте — для меня автоматом решает вопрос в пользу nginx. Тем не менее, если у вас где-то завалялся приличный бенч, где делают сравнение caddy с nginx, учитывая при этом сбор описанных выше метрик — я с удовольствием ознакомлюсь.

> никто и не внедрял и сравнений на живую не проводил

Конечно, ибо зачем тратить время, если не видно преимуществ. Производительность можно поменять на что-то действительно ценное. Но что такого особенного мы получим, перейдя на caddy, чего у нас нет сейчас? А ничего мы не получим. Вот потому и нет внедрений/сравнений.

6.39, Аноним (36), 14:54, 19/06/2026 [^] [^^] [^^^] [ответить]

+/–

>Производительность можно поменять на что-то действительно ценное. Но что такого особенного мы получим, перейдя на caddy, чего у нас нет сейчас?

Здесь мы получим сразу два важнейших результата: во-первых, избавляемся от дыряшки, во-вторых, уходим от монокультуры.
>и в этих тестах caddy отстаёт где-то на 15%

Рост производительности железа - колоссальный, сейчас смартфон в веб бразуере на js может эмулировать не напрягаясь игровые приставки из девяностых. Можно было уже давно забыть про целую кучу сишных дыреней в прикладном софте, но нет, в погоне за тактами миллионы серверов превращаются в проходной двор.

7.40, freehck (ok), 16:15, 19/06/2026 [^] [^^] [^^^] [ответить]	+/–
> во-первых, избавляемся от дыряшки, во-вторых, уходим от монокультуры Ну, с такими аргументами я могу только пожелать тебе удачи согласовать эти работы. =)

7.43, Аноним (36), 19:02, 19/06/2026 [^] [^^] [^^^] [ответить]	+/–
Как хорошо, что эксплоитам согласование не нужно

2.10, Аноним (-), 00:47, 18/06/2026 [^] [^^] [^^^] [ответить]

–4 +/–

сегодня среда, да? отправляешь письмо с запросом - в пятницу к вечеру получишь ответ, ведь ты поинт 146. выберешь там себе из списка, выходные отдыхаем, во вторник получишь подменю. а то да, технологии эти развивать - опасно же

не жизни людские, полюса/америку открывать - переживём

1.4, Ivan_83 (ok), 23:23, 17/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
http/1.1 и нет проблем + лёгкая отладка в случае чего.

2.7, нах. (?), 23:48, 17/06/2026 [^] [^^] [^^^] [ответить]	+/–
charset_map таки остается и любителям http/1.1 (правда, в реальности опасность околонулевая, но может упасть сервер и будешь гадать, с чего вдруг)

3.9, Ivan_83 (ok), 00:10, 18/06/2026 [^] [^^] [^^^] [ответить]	+5 +/–
Ни разу не юзал charset_map.

2.28, Аноним (-), 17:44, 18/06/2026 [^] [^^] [^^^] [ответить]	–1 +/–
> http/1.1 и нет проблем + лёгкая отладка в случае чего. Особенно в случае разной трактовки хидеров фронтом и бэком... можно конкретно так поотлаживаться - после того как у тебя сайт через админку полностью угонят.

2.41, Аноним (41), 18:05, 19/06/2026 [^] [^^] [^^^] [ответить]	+/–
Мне ваши комментарии всегда нравились. Типичный "дед". Пользовались вашим сервером который мультикаст в http переделывает (забыл как называется). Под фряхой вроде даже было дело. Особенно нравится "если вы не понимаете зачем вам SSL, то вам он не нужен". Так вот наоборот ) Говорю вам как внедренец всякого шлака и прослушыватель.

3.42, Аноним (41), 18:09, 19/06/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Насчет самоподписаных - а какой самоподписаный верный ? С mitmproxy я тебе новый переподпишу и скажу что он выпустил.

1.16, Аноним (16), 10:06, 18/06/2026 [ответить] [﹢﹢﹢] [ · · · ]

–4 +/–

> use-after-free
> переполнение буфера
> чтение из области вне выделенного буфера

Просто классическое СИшное бинго.

И нет, это не только для http 2/3
Буквально пару дней назад были новости про дырени.
Забавно что они весьма древние 2005, 2008 год и тд.

opennet.me/opennews/art.shtml?num=65505
opennet.me/opennews/art.shtml?num=65442

2.22, Аноним (8), 13:01, 18/06/2026 [^] [^^] [^^^] [ответить]	+2 +/–
> Просто классическое СИшное бинго. Да ты даже и так не можешь написать. А про функциональный работающий сервак от тебя без таких ошибок и вовсе речи не идёт.

3.25, Аноним (25), 16:36, 18/06/2026 [^] [^^] [^^^] [ответить]	+/–
Ты тоже не можешь

2.32, Аноним (-), 17:52, 18/06/2026 [^] [^^] [^^^] [ответить]	+/–
>> use-after-free >> переполнение буфера >> чтение из области вне выделенного буфера > Просто классическое СИшное бинго. > И нет, это не только для http 2/3 Дык заменить то его все равно не на что... вот хоть там как... не, ну "other" в статистике прет за счет всяких клаудфларов и gws но вам то с этого шоу ничего не обломится.

3.34, Анонимм (??), 20:10, 18/06/2026 [^] [^^] [^^^] [ответить]	–1 +/–
> ну "other" в статистике прет за счет всяких клаудфларов и gws но вам то с этого шоу ничего не обломится. Разве клоудфларя свои наработки не в опенсорс выкладывает? Можно даже скачать, почитать, развернуть если сильно хочется.

4.44, пох. (?), 21:16, 19/06/2026 [^] [^^] [^^^] [ответить]

+/–

выкладывает только такое что нахрен никому не надо, собрать невозможно и использовать непонятно как.

(хотя, да, хрустоверсия wg таки кому-то помогла)

1.18, Аноним (18), 11:35, 18/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Данные за май 2026: https://www.netcraft.com/blog/may-2026-web-server-survey

игнорирование участников | лог модерирования

Добавить комментарий

Текст: