Пока вы спали, ваш сервер чуть не взломали. Хорошо, что для Nginx уже выкатили патчи

В экосистеме nginx вышло сразу два обновления, которые затрагивают как основную ветку проекта, так и независимый форк. Разработчики продолжают развивать функциональность и одновременно закрывают уязвимости, влияющие на безопасность серверов.

Свежая версия nginx 1.29.8 относится к основной ветке, где появляются новые возможности. Параллельно поддерживаемая линия 1.28.x получает только исправления серьёзных ошибок. В будущем на базе текущей разработки сформируют стабильную ветку 1.30. Проект по-прежнему распространяют под лицензией BSD, а код написан на языке Си.

В релизе появилась директива max_headers, которая ограничивает количество HTTP-заголовков в запросе. При превышении заданного лимита сервер возвращает ошибку 400. Функцию перенесли из FreeNginx. Также разработчики обеспечили совместимость с OpenSSL 4.0, который пока находится на стадии альфа-тестирования. Расширили возможности директивы include — теперь в блоке geo разрешили использовать маски. Помимо новых функций исправили ошибку при обработке ответов с кодом 103 и устранили некорректную работу переменных $request_port и $is_request_port в подзапросах.

Параллельно вышел релиз FreeNginx 1.29.7 — форка, который развивает Максим Дунин, один из ключевых разработчиков оригинального проекта. FreeNginx позиционируется как независимая кодовая база без корпоративного влияния и также распространяется по лицензии BSD.

В новой версии FreeNginx добавили поддержку OpenSSL 4.0 и устранили несколько проблем безопасности. Разработчики закрыли переполнение буфера в модуле ngx_http_dav_module, которое возникало при обработке WebDAV-запросов COPY и MOVE при использовании директивы alias. Уязвимости присвоили идентификатор CVE-2026-27654. Кроме того, исправили возможность подмены данных через PTR-записи DNS, что позволяло атакующему вмешиваться в запросы auth_http и команду XCLIENT при SMTP-соединении с бэкендом. Этот дефект получил идентификатор CVE-2026-28753.