freenginx-1.31.3 changes draft

Maxim Dounin mdounin at mdounin.ru
Tue Jul 7 05:14:22 UTC 2026


Hello!


Changes with freenginx 1.31.3                                    07 Jul 2026

    *) Feature: additional checks are now used during variable substitution,
       including during execution of the ngx_http_rewrite_module directives,
       to prevent buffer overruns in case of errors in the code.

    *) Bugfix: if the "auth_request_set" directive or regular expression
       named captures were used to change prefix variables, such as
       "$http_...", corresponding variables became empty in other parts of
       the configuration.

    *) Bugfix: changing the $limit_rate and $args variables with the
       "auth_request_set" directive or regular expression named captures
       worked incorrectly.

    *) Bugfix: in error handling in the mail proxy module.
       Thanks to Evan Hellman, Trail of Bits.

    *) Bugfix: in error handling when using gzipping.
       Thanks to Evan Hellman, Trail of Bits.

    *) Bugfix: in HTTP/3.

    *) Bugfix: a segmentation fault might occur in a worker process when
       sending very long request header lines to a gRPC backend.
       Thanks to Evan Hellman, Trail of Bits.

    *) Bugfix: a segmentation fault might occur in a worker process if the
       ngx_http_charset_module was used to convert responses from UTF-8.

    *) Bugfix: in the ngx_http_perl_module.
       Thanks to Evan Hellman, Trail of Bits and Axel Mierczuk, Keith
       Hoodlet, 1Password's Off-by-1 Labs.

    *) Bugfix: in error handling when using the proxy_no_cache directive.
       Thanks to Valentin Bartenev.


Изменения в freenginx 1.31.3                                      07.07.2026

    *) Добавление: теперь при подстановке переменных, в том числе при
       выполнении директив модуля ngx_http_rewrite_module, используются
       дополнительные проверки, позволяющие предотвратить выход за границы
       буфера в случае каких-либо ошибок в коде.

    *) Исправление: при использовании директивы auth_request_set или
       именованных выделений в регулярных выражениях для изменения
       префиксных переменных, таких как "$http_...", соответствующие
       переменные оказывались пустыми в других частях конфигурации.

    *) Исправлеие: изменение переменных $limit_rate и $args с помощью
       директивы auth_request_set или именованных выделений в регулярных
       выражениях работало некорректно.

    *) Исправление: в обработке ошибок в почтовом прокси-сервере.
       Спасибо Evan Hellman, Trail of Bits.

    *) Исправление: в обработке ошибок при использовании сжатия.
       Спасибо Evan Hellman, Trail of Bits.

    *) Исправление: в HTTP/3.

    *) Исправление: в рабочем процессе мог произойти segmentation fault при
       отправке на gRPC-бэкенд очень длинных строк заголовка запроса.
       Спасибо Evan Hellman, Trail of Bits.

    *) Исправление: в рабочем процессе мог произойти segmentation fault,
       если модуль ngx_http_charset_module использовался для перекодирования
       ответов из UTF-8.

    *) Исправление: в модуле ngx_http_perl_module.
       Спасибо Evan Hellman, Trail of Bits и Axel Mierczuk, Keith Hoodlet,
       1Password's Off-by-1 Labs.

    *) Исправление: в обработке ошибок при использовании директивы
       proxy_no_cache.
       Спасибо Valentin Bartenev.


-- 
Maxim Dounin
http://mdounin.ru/


More information about the nginx-devel mailing list