Mercurial > hg > nginx-site

changeset 1012:f7fe7da742c6

Find changesets by keywords (author, files, the commit message), revision number or hash, or revset expression.
nginx-1.5.7, nginx-1.4.4
author Maxim Dounin <mdounin@mdounin.ru>
date Tue, 19 Nov 2013 18:57:50 +0400
parents 2ad2f30efdf2
children 48fe3c9534bd
files text/en/CHANGES text/en/CHANGES-1.4 text/ru/CHANGES.ru text/ru/CHANGES.ru-1.4 xml/en/security_advisories.xml xml/index.xml xml/versions.xml
diffstat 7 files changed, 124 insertions(+), 0 deletions(-) [+]
line wrap: on
line diff
--- a/text/en/CHANGES	Tue Nov 19 17:08:49 2013 +0400
+++ b/text/en/CHANGES	Tue Nov 19 18:57:50 2013 +0400
@@ -1,4 +1,45 @@
 
+Changes with nginx 1.5.7                                         19 Nov 2013
+
+    *) Security: a character following an unescaped space in a request line
+       was handled incorrectly (CVE-2013-4547); the bug had appeared in
+       0.8.41.
+       Thanks to Ivan Fratric of the Google Security Team.
+
+    *) Change: a logging level of auth_basic errors about no user/password
+       provided has been lowered from "error" to "info".
+
+    *) Feature: the "proxy_cache_revalidate", "fastcgi_cache_revalidate",
+       "scgi_cache_revalidate", and "uwsgi_cache_revalidate" directives.
+
+    *) Feature: the "ssl_session_ticket_key" directive.
+       Thanks to Piotr Sikora.
+
+    *) Bugfix: the directive "add_header Cache-Control ''" added a
+       "Cache-Control" response header line with an empty value.
+
+    *) Bugfix: the "satisfy any" directive might return 403 error instead of
+       401 if auth_request and auth_basic directives were used.
+       Thanks to Jan Marc Hoffmann.
+
+    *) Bugfix: the "accept_filter" and "deferred" parameters of the "listen"
+       directive were ignored for listen sockets created during binary
+       upgrade.
+       Thanks to Piotr Sikora.
+
+    *) Bugfix: some data received from a backend with unbufferred proxy
+       might not be sent to a client immediately if "gzip" or "gunzip"
+       directives were used.
+       Thanks to Yichun Zhang.
+
+    *) Bugfix: in error handling in ngx_http_gunzip_filter_module.
+
+    *) Bugfix: responses might hang if the ngx_http_spdy_module was used
+       with the "auth_request" directive.
+
+    *) Bugfix: memory leak in nginx/Windows.
+
+
 Changes with nginx 1.5.6                                         01 Oct 2013
 
     *) Feature: the "fastcgi_buffering" directive.
--- a/text/en/CHANGES-1.4	Tue Nov 19 17:08:49 2013 +0400
+++ b/text/en/CHANGES-1.4	Tue Nov 19 18:57:50 2013 +0400
@@ -1,4 +1,12 @@
 
+Changes with nginx 1.4.4                                         19 Nov 2013
+
+    *) Security: a character following an unescaped space in a request line
+       was handled incorrectly (CVE-2013-4547); the bug had appeared in
+       0.8.41.
+       Thanks to Ivan Fratric of the Google Security Team.
+
+
 Changes with nginx 1.4.3                                         08 Oct 2013
 
     *) Bugfix: a segmentation fault might occur in a worker process if the
--- a/text/ru/CHANGES.ru	Tue Nov 19 17:08:49 2013 +0400
+++ b/text/ru/CHANGES.ru	Tue Nov 19 18:57:50 2013 +0400
@@ -1,4 +1,47 @@
 
+Изменения в nginx 1.5.7                                           19.11.2013
+
+    *) Безопасность: символ, следующий за незакодированным пробелом в строке
+       запроса, обрабатывался неправильно (CVE-2013-4547); ошибка появилась
+       в 0.8.41.
+       Спасибо Ivan Fratric из Google Security Team.
+
+    *) Изменение: уровень логгирования ошибок auth_basic об отсутствии
+       пароля понижен с уровня error до info.
+
+    *) Добавление: директивы proxy_cache_revalidate,
+       fastcgi_cache_revalidate, scgi_cache_revalidate и
+       uwsgi_cache_revalidate.
+
+    *) Добавление: директива ssl_session_ticket_key.
+       Спасибо Piotr Sikora.
+
+    *) Исправление: директива "add_header Cache-Control ''" добавляла строку
+       заголовка ответа "Cache-Control" с пустым значением.
+
+    *) Исправление: директива "satisfy any" могла вернуть ошибку 403 вместо
+       401 при использовании директив auth_request и auth_basic.
+       Спасибо Jan Marc Hoffmann.
+
+    *) Исправление: параметры accept_filter и deferred директивы listen
+       игнорировались для listen-сокетов, создаваемых в процессе обновления
+       исполняемого файла.
+       Спасибо Piotr Sikora.
+
+    *) Исправление: часть данных, полученных от бэкенда при
+       небуферизированном проксировании, могла не отправляться клиенту
+       сразу, если использовались директивы gzip или gunzip.
+       Спасибо Yichun Zhang.
+
+    *) Исправление: в обработке ошибок в модуле
+       ngx_http_gunzip_filter_module.
+
+    *) Исправление: ответы могли зависать если использовался модуль
+       ngx_http_spdy_module и директива auth_request.
+
+    *) Исправление: утечки памяти в nginx/Windows.
+
+
 Изменения в nginx 1.5.6                                           01.10.2013
 
     *) Добавление: директива fastcgi_buffering.
--- a/text/ru/CHANGES.ru-1.4	Tue Nov 19 17:08:49 2013 +0400
+++ b/text/ru/CHANGES.ru-1.4	Tue Nov 19 18:57:50 2013 +0400
@@ -1,4 +1,12 @@
 
+Изменения в nginx 1.4.4                                           19.11.2013
+
+    *) Безопасность: символ, следующий за незакодированным пробелом в строке
+       запроса, обрабатывался неправильно (CVE-2013-4547); ошибка появилась
+       в 0.8.41.
+       Спасибо Ivan Fratric из Google Security Team.
+
+
 Изменения в nginx 1.4.3                                           08.10.2013
 
     *) Исправление: в рабочем процессе мог произойти segmentation fault,
--- a/xml/en/security_advisories.xml	Tue Nov 19 17:08:49 2013 +0400
+++ b/xml/en/security_advisories.xml	Tue Nov 19 18:57:50 2013 +0400
@@ -24,6 +24,14 @@
 
 <security>
 
+<item name="Request line parsing vulnerability"
+      severity="medium"
+      cve="2013-4547"
+      good="1.5.7+, 1.4.4+"
+      vulnerable="0.8.41-1.5.16">
+<patch name="patch.2013.space.txt" />
+</item>
+
 <item name="Memory disclosure with specially crafted HTTP backend responses"
       severity="medium"
       advisory="http://mailman.nginx.org/pipermail/nginx-announce/2013/000114.html"
--- a/xml/index.xml	Tue Nov 19 17:08:49 2013 +0400
+++ b/xml/index.xml	Tue Nov 19 18:57:50 2013 +0400
@@ -7,6 +7,20 @@
 
 <news name="nginx news" link="/" lang="en">
 
+<event date="2013-11-19">
+<para>
+<link doc="en/download.xml">nginx-1.4.4</link>
+stable and
+<link doc="en/download.xml">nginx-1.5.7</link>
+mainline versions have been released,
+with a fix for the
+<link doc="en/security_advisories.xml">request line parsing</link>
+vulnerability in nginx 0.8.41 - 1.5.6
+discovered by Ivan Fratric of the Google Security Team
+(CVE-2013-4547).
+</para>
+</event>
+
 <event date="2013-10-08">
 <para>
 <link doc="en/download.xml">nginx-1.4.3</link>
--- a/xml/versions.xml	Tue Nov 19 17:08:49 2013 +0400
+++ b/xml/versions.xml	Tue Nov 19 18:57:50 2013 +0400
@@ -9,6 +9,7 @@
 
 <download tag="mainline" changes="">
 
+<item ver="1.5.7" />
 <item ver="1.5.6" />
 <item ver="1.5.5" />
 <item ver="1.5.4" />
@@ -22,6 +23,7 @@
 
 <download tag="stable" changes="1.4">
 
+<item ver="1.4.4" />
 <item ver="1.4.3" />
 <item ver="1.4.2" />
 <item ver="1.4.1" />