Профиль: Аноним (вход | регистрация) неRU opennet.me  
The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление nginx 1.31.3 с устранением RCE-уязвимости

15.07.2026 23:13 (MSK)

Сформирован выпуск основной ветки nginx 1.31.3, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.30.4, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранено 3 уязвимости:

  • CVE-2026-42533 - переполнение буфера, проявляющееся при использовании в директиве "map" проверок через регулярные выражения с подстановками при помощи неименованных (например, $1 и $2) или именованных переменных, при условии, что данные переменные упомянуты до переменной результата map или использована переменная, которая не кэшируется. Потенциально уязвимость может привести к удалённому выполнению кода на сервере через отправку специально оформленного HTTP-запроса. Проблеме присвоен критический уровень опасности (9.2 из 10).
  • CVE-2026-60005 - утечка неинициализированной памяти рабочего процесса при использовании модуля ngx_http_slice_module и указания в директиве slice регулярных выражений с подстановками при помощи неименованных переменных. Уязвимости присвоен уровень опасности 8.8 из 10.
  • CVE-2026-56434 - обращение к памяти после её освобождения в модуле ngx_http_ssi_module, возникающее при обработке специально оформленного ответа, возвращённого проксированным бэкендом. Уязвимость может привести к изменению содержимого памяти рабочего процесса. Проблеме присвоен уровень опасности 8.3 из 10.

Не связанные с уязвимостями изменения:

  • В модуле ngx_http_xslt_filter_module отключена загрузка переменных в XML-документе, значения которых загружаются из внешних источников. Добавлена директива "xml_external_entities" для управления загрузкой внешних компонентов, указанных в блоке DTD обрабатываемого XML-документа.
  • Добавлены директивы "proxy_socket_sndbuf", "proxy_socket_rcvbuf", "fastcgi_socket_sndbuf", "fastcgi_socket_rcvbuf", "grpc_socket_sndbuf", "grpc_socket_rcvbuf", "scgi_socket_sndbuf", "scgi_socket_rcvbuf", "uwsgi_socket_sndbuf", "uwsgi_socket_rcvbuf", "tunnel_socket_sndbuf" и "tunnel_socket_rcvbuf" для выставления размера буферов отправки (SO_SNDBUF) и приёма (SO_RCVBUF).
  • Для архитектуры LoongArch64 реализовано определение размера блока (cache line), используемого для передачи данных между кэшем CPU и памятью.
  • В модулях ngx_http_proxy_v2_module и ngx_http_grpc_module реализовано ограничение размера заголовков и трейлеров в ответах HTTP/2 при помощи директив proxy_buffer_size и grpc_buffer_size.


  1. Главная ссылка к новости (https://nginx.org/#2026-07-15...)
  2. OpenNews: Обновление nginx 1.31.2 с устранением уязвимостей, эксплуатируемых через HTTP/3, HTTP2 и gRPC
  3. OpenNews: Проект nginx опубликовал JavaScript-модуль njs 1.0.0
  4. OpenNews: Выпуск Angie 1.12.0, форка Nginx
  5. OpenNews: В nginx выявлена вторая за 10 дней удалённо эксплуатируемая уязвимость
  6. OpenNews: Обновление nginx 1.31.0 с устранением RCE-уязвимости, эксплуатируемой через HTTP-запрос
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65910-nginx
Ключевые слова: nginx
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Хру (?), 23:50, 15/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Итить, третья уязвимость в одном и том же куске кода. И эти бракоделы не сподобились даже пробежаться хоть какой-то ИИшней по своей базе, не говоря уже о фаззерах и санитайзерах. Вот как так?
     
     
  • 2.4, Аноним (4), 23:56, 15/07/2026 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вот как так?

    Потому что разработка "xepaк-xepaк - и в продакшын"

     
     
  • 3.8, Ivan_83 (ok), 00:15, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +4 +/
    И как видно такая разработка вывела проект в топ вебсерверов планеты.
     
     
  • 4.10, Аноним (4), 00:31, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вывела проект в топ самых дырявых
     
     
  • 5.11, Ivan_83 (ok), 00:39, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вы давно в IIS и апач заглядывали?
     
  • 5.28, Аноним (28), 10:13, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    т.е. на один уровень с тобой или так и не догнали?
     
  • 4.23, Sm0ke85 (ok), 07:45, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >И как видно такая разработка вывела проект в топ вебсерверов планеты.

    Ты ж не намекаешь, что он лучший, т.к. в топ мира по пользованию даже косметика с радиоактивными изотопами как-то выходила, пока не поняли, что повальный рак как-то связан с этой косметикой... В топе всегда находится то, с чего денег можно бОльше заработать - таковы особенности капитализма, но это не говорит о том, что это "топовое" - реально лучшее, что есть в доступности... (поясни, меня напрягает доказательная база, про сам nginx глубоко особо не знаю)

     
  • 4.32, Аноним (32), 11:06, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    О а вот и известный поедатель с лопаты Иван_83 представитель миллиона муж, которые никогда не ошибались...
     
  • 3.14, Аноним (14), 01:35, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    ИИ, ИИ и в прдакшн! А чо там внутри и как оно работает, ИИ его знает. Погроммист не знает.
     
  • 2.7, Ivan_83 (ok), 00:14, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Это не тот же код. В прошлый раз вроде в rewrite было.
    Но похоже что проблема с регулярками для проекта системная, и вероятно может найтись ещё место где они использовались сходням образом.
     
  • 2.12, Аноним (12), 01:22, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > не сподобились даже пробежаться хоть какой-то ИИшней по своей базе

    Сишники так же уверены в своей непогрешимости, как и в применимости своего язычка для реальных задач, зачем им что-то там какими-то фаззерами и иишками проверять? Деды писали и они пишут.

     
  • 2.21, edo (ok), 07:43, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Я думаю наоборот, прошлись иишечкой, она и нашла
     
  • 2.30, Смузихеб забывший пароль (?), 10:15, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Ну надо же на что-то деньги тратить и за что-то их получать, видимость активной работы создавать опять же
    А то всё сделают как надо - и лапу сосать... без соли. А то и на мороз ввиду ненадобности и заменимости
     

  • 1.3, Аноним (3), 23:56, 15/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Устранили ВСЕ уязвимости!
     
  • 1.5, Аноним (5), 00:07, 16/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    При Сысоеве такого не было!
     
  • 1.6, Ivan_83 (ok), 00:13, 16/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    RCE тут притянуто за уши, как обычно последнее время.
    Поди найди эти самые типовые конфиги где map используется в том виде в котором надо и поди туда ещё данные какие надо отправь...
     

  • 1.9, Ivan_83 (ok), 00:16, 16/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Добавлены директивы ... для выставления размера буферов отправки (SO_SNDBUF) и приёма (SO_RCVBUF).

    Это конечно хорошо, но хочется чтобы оно как то само на автомате.

     
     
  • 2.13, Аноним (12), 01:23, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Так бери любой современный реверс прокси, зачем тебе nginx?
     
     
  • 3.17, Ivan_83 (ok), 04:32, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Так мне чисто прокси и не нужен, у меня на nginx целый зоопарк всего.
     
     
  • 4.35, Аноним (32), 11:13, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Начни с того что тебе не нужен этот зоопарк.
     
  • 2.22, edo (ok), 07:44, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Само на автомате - дефолты операционной системы, на самом деле не такие уж и плохие для большинства случаев
     

  • 1.16, Джон Титор (ok), 04:22, 16/07/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     
  • 1.18, Аноним (18), 05:12, 16/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >"CVE-2026-42533 - переполнение буфера"

    Опять? Да сколько же можно!

     

  • 1.20, Аноним (20), 07:01, 16/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > переполнение буфера ... может привести к удалённому выполнению кода на сервере через отправку специально оформленного HTTP-запроса
    > ... критический уровень опасности (9.2 из 10).

    Вот она СИла СИшки!
    Не зря диды её обожают.

    Как же помог разработчикам Стандарт™ и несколько компиляторов от разных вендором!

     
     
  • 2.24, Аноним (24), 08:02, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Казалось бы это должен был быть такой троллинг, но походит на боль пониже поясницы =)
    Не гори
     

  • 1.26, Аноним (26), 08:45, 16/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    спасибо тебе кормилец nginx, что не даешь умереть с голоду. пошел всех своих клиентов на апворке пугать и за денежку обновляться. да не оскудеет рука дающего ой nginx прогеров и ии слопа
     
  • 1.31, pva (??), 11:03, 16/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Всё лучше понимаю Максима Дунина, который как раз из-за такого тупого маркирования уязвимостей безопасности и основал freenginx. Про безопасность всем рекомендую смотреть его проект. В этих уязвимостях ничего настолько критичного просто нет. Да серьёзно, но не 9.2. Чистой воды хайп на безопасности от менеджеров nginx'а.
     
     
  • 2.34, Аноним (32), 11:10, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Да расходимся, здесь не на что смотреть. Это не для вас уязвимость у вас даже звания нет.
     

  • 1.33, Аноним (32), 11:09, 16/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Помните что случайности не случайны. А создатель инжинкса из российской компании Рамблер.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру