Mercurial > hg > nginx-site
changeset 1292:bb18e3bd3fb9
nginx-1.7.5, nginx-1.6.2
| author | Maxim Dounin <mdounin@mdounin.ru> |
|---|---|
| date | Tue, 16 Sep 2014 17:20:27 +0400 |
| parents | d7740f42b00a |
| children | ae87dd0f3953 |
| files | text/en/CHANGES text/en/CHANGES-1.6 text/ru/CHANGES.ru text/ru/CHANGES.ru-1.6 xml/en/security_advisories.xml xml/index.xml xml/versions.xml |
| diffstat | 7 files changed, 138 insertions(+), 0 deletions(-) [+] |
line wrap: on
line diff
--- a/text/en/CHANGES Tue Sep 16 12:27:55 2014 +0400 +++ b/text/en/CHANGES Tue Sep 16 17:20:27 2014 +0400 @@ -1,4 +1,46 @@ +Changes with nginx 1.7.5 16 Sep 2014 + + *) Security: it was possible to reuse SSL sessions in unrelated contexts + if a shared SSL session cache or the same TLS session ticket key was + used for multiple "server" blocks (CVE-2014-3616). + Thanks to Antoine Delignat-Lavaud. + + *) Change: now the "stub_status" directive does not require a parameter. + + *) Feature: the "always" parameter of the "add_header" directive. + + *) Feature: the "proxy_next_upstream_tries", + "proxy_next_upstream_timeout", "fastcgi_next_upstream_tries", + "fastcgi_next_upstream_timeout", "memcached_next_upstream_tries", + "memcached_next_upstream_timeout", "scgi_next_upstream_tries", + "scgi_next_upstream_timeout", "uwsgi_next_upstream_tries", and + "uwsgi_next_upstream_timeout" directives. + + *) Bugfix: in the "if" parameter of the "access_log" directive. + + *) Bugfix: in the ngx_http_perl_module. + Thanks to Piotr Sikora. + + *) Bugfix: the "listen" directive of the mail proxy module did not allow + to specify more than two parameters. + + *) Bugfix: the "sub_filter" directive did not work with a string to + replace consisting of a single character. + + *) Bugfix: requests might hang if resolver was used and a timeout + occurred during a DNS request. + + *) Bugfix: in the ngx_http_spdy_module when using with AIO. + + *) Bugfix: a segmentation fault might occur in a worker process if the + "set" directive was used to change the "$http_...", "$sent_http_...", + or "$upstream_http_..." variables. + + *) Bugfix: in memory allocation error handling. + Thanks to Markus Linnala and Feng Gu. + + Changes with nginx 1.7.4 05 Aug 2014 *) Security: pipelined commands were not discarded after STARTTLS
--- a/text/en/CHANGES-1.6 Tue Sep 16 12:27:55 2014 +0400 +++ b/text/en/CHANGES-1.6 Tue Sep 16 17:20:27 2014 +0400 @@ -1,4 +1,18 @@ +Changes with nginx 1.6.2 16 Sep 2014 + + *) Security: it was possible to reuse SSL sessions in unrelated contexts + if a shared SSL session cache or the same TLS session ticket key was + used for multiple "server" blocks (CVE-2014-3616). + Thanks to Antoine Delignat-Lavaud. + + *) Bugfix: requests might hang if resolver was used and a DNS server + returned a malformed response; the bug had appeared in 1.5.8. + + *) Bugfix: requests might hang if resolver was used and a timeout + occurred during a DNS request. + + Changes with nginx 1.6.1 05 Aug 2014 *) Security: pipelined commands were not discarded after STARTTLS
--- a/text/ru/CHANGES.ru Tue Sep 16 12:27:55 2014 +0400 +++ b/text/ru/CHANGES.ru Tue Sep 16 17:20:27 2014 +0400 @@ -1,4 +1,49 @@ +Изменения в nginx 1.7.5 16.09.2014 + + *) Безопасность: при использовании общего для нескольких блоков server + разделяемого кэша SSL-сессий или общего ключа для шифрования TLS + session tickets было возможно повторно использовать SSL-сессию в + контексте другого блока server (CVE-2014-3616). + Спасибо Antoine Delignat-Lavaud. + + *) Изменение: директиву stub_status теперь можно указывать без + параметров. + + *) Добавление: параметр always директивы add_header. + + *) Добавление: директивы proxy_next_upstream_tries, + proxy_next_upstream_timeout, fastcgi_next_upstream_tries, + fastcgi_next_upstream_timeout, memcached_next_upstream_tries, + memcached_next_upstream_timeout, scgi_next_upstream_tries, + scgi_next_upstream_timeout, uwsgi_next_upstream_tries и + uwsgi_next_upstream_timeout. + + *) Исправление: в параметре if директивы access_log. + + *) Исправление: в модуле ngx_http_perl_module. + Спасибо Piotr Sikora. + + *) Исправление: директива listen почтового прокси-сервера не позволяла + указать более двух параметров. + + *) Исправление: директива sub_filter не работала с заменяемой строкой из + одного символа. + + *) Исправление: запросы могли зависать, если использовался resolver и в + процессе обращения к DNS-серверу происходил таймаут. + + *) Исправление: в модуле ngx_http_spdy_module при использовании + совместно с AIO. + + *) Исправление: в рабочем процессе мог произойти segmentation fault, + если с помощью директивы set изменялись переменные "$http_...", + "$sent_http_..." или "$upstream_http_...". + + *) Исправление: в обработке ошибок выделения памяти. + Спасибо Markus Linnala и Feng Gu. + + Изменения в nginx 1.7.4 05.08.2014 *) Безопасность: pipelined-команды не отбрасывались после команды
--- a/text/ru/CHANGES.ru-1.6 Tue Sep 16 12:27:55 2014 +0400 +++ b/text/ru/CHANGES.ru-1.6 Tue Sep 16 17:20:27 2014 +0400 @@ -1,4 +1,19 @@ +Изменения в nginx 1.6.2 16.09.2014 + + *) Безопасность: при использовании общего для нескольких блоков server + разделяемого кэша SSL-сессий или общего ключа для шифрования TLS + session tickets было возможно повторно использовать SSL-сессию в + контексте другого блока server (CVE-2014-3616). + Спасибо Antoine Delignat-Lavaud. + + *) Исправление: запросы могли зависать, если использовался resolver и + DNS-сервер возвращал некорректный ответ; ошибка появилась в 1.5.8. + + *) Исправление: запросы могли зависать, если использовался resolver и в + процессе обращения к DNS-серверу происходил таймаут. + + Изменения в nginx 1.6.1 05.08.2014 *) Безопасность: pipelined-команды не отбрасывались после команды
--- a/xml/en/security_advisories.xml Tue Sep 16 12:27:55 2014 +0400 +++ b/xml/en/security_advisories.xml Tue Sep 16 17:20:27 2014 +0400 @@ -24,6 +24,13 @@ <security> +<item name="SSL session reuse vulnerability" + severity="medium" + cve="2014-3616" + good="1.7.5+, 1.6.2+" + vulnerable="0.5.6-1.7.4"> +</item> + <item name="STARTTLS command injection" severity="medium" advisory="http://mailman.nginx.org/pipermail/nginx-announce/2014/000144.html"
--- a/xml/index.xml Tue Sep 16 12:27:55 2014 +0400 +++ b/xml/index.xml Tue Sep 16 17:20:27 2014 +0400 @@ -7,6 +7,19 @@ <news name="nginx news" link="/" lang="en"> +<event date="2014-09-16"> +<para> +<link doc="en/download.xml">nginx-1.6.2</link> +stable and +<link doc="en/download.xml">nginx-1.7.5</link> +mainline versions have been released +with a fix for the +<link doc="en/security_advisories.xml">SSL session reuse vulnerability</link> +discovered by Antoine Delignat-Lavaud +(CVE-2014-3616). +</para> +</event> + <event date="2014-08-05"> <para> <link doc="en/download.xml">nginx-1.6.1</link>
--- a/xml/versions.xml Tue Sep 16 12:27:55 2014 +0400 +++ b/xml/versions.xml Tue Sep 16 17:20:27 2014 +0400 @@ -9,6 +9,7 @@ <download tag="mainline" changes=""> +<item ver="1.7.5" /> <item ver="1.7.4" /> <item ver="1.7.3" /> <item ver="1.7.2" /> @@ -20,6 +21,7 @@ <download tag="stable" changes="1.6"> +<item ver="1.6.2" /> <item ver="1.6.1" /> <item ver="1.6.0" /> <item ver="1.5.13" />