Уже вышла новая версия nginx 1.22.0

После 13 месяцев разработки выпущена новая стабильная ветка Высокопроизводительный HTTP-сервер и многопротокольный прокси-сервер нгинкс 1.22.0, которая включает в себя изменения, накопленные в основной ветке 1.21.x.

В будущем, все изменения в стабильной ветке 1.22 будут связаны с отладкой и серьезные уязвимые места. В ближайшее время будет сформирована основная ветка nginx 1.23, в которой продолжится разработка новых возможностей.



Для обычных пользователей, у которых нет задачи обеспечения совместимости со сторонними модулями, рекомендуется использовать основную ветку, на основе которой каждые три месяца формируются версии коммерческого продукта Nginx Plus.



Главные новости nginx 1.22.0

В представленной новой версии nginx 1.22.0 Улучшенная защита от атак класса HTTP Request Smuggling. в системах front-end-backend, которые позволяют вам получать доступ к содержимому запросов других пользователей, обрабатываемых в одном потоке между front-end и back-end. Nginx теперь всегда возвращает ошибку при использовании метода CONNECT; путем одновременного указания заголовков «Content-Length» и «Transfer-Encoding»; при наличии пробелов или управляющих символов в строке запроса, имени заголовка HTTP или значении заголовка «Host».

Еще одна новинка, которая выделяется в этой новой версии, заключается в том, что добавлена ​​поддержка переменных в директивы «proxy_ssl_certificate», «proxy_ssl_certificate_key», «grpc_ssl_certificate», «grpc_ssl_certificate_key», «uwsgi_ssl_certificate» и «uwsgi_ssl_certificate_key».



Кроме того, также отмечается, что он был добавлен поддержка «конвейерного» режима для отправки нескольких запросов POP3 или IMAP по одному и тому же соединению к модулю почтового прокси, а также новую директиву «max_errors», указывающую максимальное количество ошибок протокола, после которого соединение будет закрыто.

Заголовки «Auth-SSL-Protocol» и «Auth-SSL-Cipher» передаются на почтовый прокси-сервер аутентификации, плюс в модуль передачи добавлена ​​поддержка расширения ALPN TLS. Для определения списка поддерживаемых протоколов ALPN (h2, http/1.1) предлагается директива ssl_alpn, а для получения информации о согласованном с клиентом протоколе ALPN — переменная $ssl_alpn_protocol.

Из других изменений которые выделяются:



  • Блокирование запросов HTTP/1.0, содержащих HTTP-заголовок «Transfer-Encoding» (представлено в версии протокола HTTP/1.1).

  • Платформа FreeBSD улучшила поддержку системного вызова sendfile, предназначенного для организации прямой передачи данных между файловым дескриптором и сокетом. Режим sendfile(SF_NODISKIO) включен постоянно, и добавлена ​​поддержка режима sendfile(SF_NOCACHE).

  • В передающий модуль добавлен параметр «fastopen», который включает режим «TCP Fast Open» для слушающих сокетов.

  • Исправлено экранирование символов «»», «<«, «>», «», «^», «`», «{«, «|» и «}» при использовании прокси с изменением URI.

  • В модуль stream добавлена ​​директива proxy_half_close, с помощью которой можно настроить поведение при закрытии TCP-соединения прокси с одной стороны («TCP half-close»).

  • В модуль ngx_http_mp4_module добавлена ​​новая директива mp4_start_key_frame для потоковой передачи видео из ключевого кадра.

  • Добавлена ​​переменная $ssl_curve для возврата типа эллиптической кривой, выбранной для согласования ключей в сеансе TLS.

  • Директива sendfile_max_chunk изменила значение по умолчанию на 2 мегабайта;

  • Поддержка предоставляется библиотекой OpenSSL 3.0. Добавлена ​​поддержка вызова SSL_sendfile() при использовании OpenSSL 3.0.

  • Сборка с библиотекой PCRE2 включена по умолчанию и предоставляет функции для обработки регулярных выражений.

  • При загрузке сертификатов сервера скорректировано использование уровней безопасности, поддерживаемых начиная с OpenSSL 1.1.0 и устанавливаемых с помощью параметра «@SECLEVEL=N» в директиве ssl_ciphers.

  • Удалена поддержка набора экспортных шифров.

  • В API фильтрации тела запроса разрешена буферизация обрабатываемых данных.

  • Удалена поддержка установления соединений HTTP/2 с использованием расширения NPN (Next Protocol Negotiation) вместо ALPN.

В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности По следующей ссылке.






2022-05-24T22:43:09
приложений