Mercurial > hg > nginx-site

changeset 1264:f6d12250cda5

Find changesets by keywords (author, files, the commit message), revision number or hash, or revset expression.
nginx-1.7.4, nginx-1.6.1
author Maxim Dounin <mdounin@mdounin.ru>
date Tue, 05 Aug 2014 16:55:14 +0400
parents fb94d6f98b03
children ba6da8f0ecd2
files text/en/CHANGES text/en/CHANGES-1.6 text/ru/CHANGES.ru text/ru/CHANGES.ru-1.6 xml/en/security_advisories.xml xml/index.xml xml/versions.xml
diffstat 7 files changed, 134 insertions(+), 4 deletions(-) [+]
line wrap: on
line diff
--- a/text/en/CHANGES
+++ b/text/en/CHANGES
@@ -1,4 +1,41 @@
 
+Changes with nginx 1.7.4                                         05 Aug 2014
+
+    *) Security: pipelined commands were not discarded after STARTTLS
+       command in SMTP proxy (CVE-2014-3556); the bug had appeared in 1.5.6.
+       Thanks to Chris Boulton.
+
+    *) Change: URI escaping now uses uppercase hexadecimal digits.
+       Thanks to Piotr Sikora.
+
+    *) Feature: now nginx can be build with BoringSSL and LibreSSL.
+       Thanks to Piotr Sikora.
+
+    *) Bugfix: requests might hang if resolver was used and a DNS server
+       returned a malformed response; the bug had appeared in 1.5.8.
+
+    *) Bugfix: in the ngx_http_spdy_module.
+       Thanks to Piotr Sikora.
+
+    *) Bugfix: the $uri variable might contain garbage when returning errors
+       with code 400.
+       Thanks to Sergey Bobrov.
+
+    *) Bugfix: in error handling in the "proxy_store" directive and the
+       ngx_http_dav_module.
+       Thanks to Feng Gu.
+
+    *) Bugfix: a segmentation fault might occur if logging of errors to
+       syslog was used; the bug had appeared in 1.7.1.
+
+    *) Bugfix: the $geoip_latitude, $geoip_longitude, $geoip_dma_code, and
+       $geoip_area_code variables might not work.
+       Thanks to Yichun Zhang.
+
+    *) Bugfix: in memory allocation error handling.
+       Thanks to Tatsuhiko Kubo and Piotr Sikora.
+
+
 Changes with nginx 1.7.3                                         08 Jul 2014
 
     *) Feature: weak entity tags are now preserved on response
--- a/text/en/CHANGES-1.6
+++ b/text/en/CHANGES-1.6
@@ -1,4 +1,19 @@
 
+Changes with nginx 1.6.1                                         05 Aug 2014
+
+    *) Security: pipelined commands were not discarded after STARTTLS
+       command in SMTP proxy (CVE-2014-3556); the bug had appeared in 1.5.6.
+       Thanks to Chris Boulton.
+
+    *) Bugfix: the $uri variable might contain garbage when returning errors
+       with code 400.
+       Thanks to Sergey Bobrov.
+
+    *) Bugfix: in the "none" parameter in the "smtp_auth" directive; the bug
+       had appeared in 1.5.6.
+       Thanks to Svyatoslav Nikolsky.
+
+
 Changes with nginx 1.6.0                                         24 Apr 2014
 
     *) 1.6.x stable branch.
--- a/text/ru/CHANGES.ru
+++ b/text/ru/CHANGES.ru
@@ -1,4 +1,43 @@
 
+Изменения в nginx 1.7.4                                           05.08.2014
+
+    *) Безопасность: pipelined-команды не отбрасывались после команды
+       STARTTLS в SMTP прокси-сервере (CVE-2014-3556); ошибка появилась в
+       1.5.6.
+       Спасибо Chris Boulton.
+
+    *) Изменение: экранирование символов в URI теперь использует
+       шестнадцатеричные цифры в верхнем регистре.
+       Спасибо Piotr Sikora.
+
+    *) Добавление: теперь nginx можно собрать с BoringSSL и LibreSSL.
+       Спасибо Piotr Sikora.
+
+    *) Исправление: запросы могли зависать, если использовался resolver и
+       DNS-сервер возвращал некорректный ответ; ошибка появилась в 1.5.8.
+
+    *) Исправление: в модуле ngx_http_spdy_module.
+       Спасибо Piotr Sikora.
+
+    *) Исправление: переменная $uri могла содержать мусор при возврате
+       ошибок с кодом 400.
+       Спасибо Сергею Боброву.
+
+    *) Исправление: в обработке ошибок в директиве proxy_store и в модуле
+       ngx_http_dav_module.
+       Спасибо Feng Gu.
+
+    *) Исправление: при логгировании ошибок в syslog мог происходить
+       segmentation fault; ошибка появилась в 1.7.1.
+
+    *) Исправление: переменные $geoip_latitude, $geoip_longitude,
+       $geoip_dma_code и $geoip_area_code могли не работать.
+       Спасибо Yichun Zhang.
+
+    *) Исправление: в обработке ошибок выделения памяти.
+       Спасибо Tatsuhiko Kubo и Piotr Sikora.
+
+
 Изменения в nginx 1.7.3                                           08.07.2014
 
     *) Добавление: weak entity tags теперь не удаляются при изменениях
@@ -1614,7 +1653,7 @@
 Изменения в nginx 0.9.2                                           06.12.2010
 
     *) Добавление: поддержка строки "If-Unmodified-Since" в заголовке
-       запросе клиента.
+       запроса клиента.
 
     *) Изменение: использование accept(), если accept4() не реализован;
        ошибка появилась в 0.9.0.
@@ -3562,7 +3601,7 @@
 Изменения в nginx 0.6.31                                          12.05.2008
 
     *) Исправление: nginx не обрабатывал ответ FastCGI-сервера, если строка
-       заголовка ответ была в конце записи FastCGI; ошибка появилась в
+       заголовка ответа была в конце записи FastCGI; ошибка появилась в
        0.6.2.
        Спасибо Сергею Серову.
 
@@ -4638,7 +4677,7 @@
 
     *) Добавление: директива ip_hash в блоке upstream.
 
-    *) Добавление: статус WAIT в строке "Auth-Status" в заголовка ответа
+    *) Добавление: статус WAIT в строке "Auth-Status" в заголовке ответа
        сервера аутентификации IMAP/POP3 прокси.
 
     *) Исправление: nginx не собирался на 64-битных платформах; ошибка
@@ -6123,7 +6162,7 @@
 
 Изменения в nginx 0.1.36                                          15.06.2005
 
-    *) Изменение: если в заголовке запросе есть дублирующиеся строки "Host",
+    *) Изменение: если в заголовке запроса есть дублирующиеся строки "Host",
        "Connection", "Content-Length" и "Authorization", то nginx теперь
        выдаёт ошибку 400.
 
--- a/text/ru/CHANGES.ru-1.6
+++ b/text/ru/CHANGES.ru-1.6
@@ -1,4 +1,20 @@
 
+Изменения в nginx 1.6.1                                           05.08.2014
+
+    *) Безопасность: pipelined-команды не отбрасывались после команды
+       STARTTLS в SMTP прокси-сервере (CVE-2014-3556); ошибка появилась в
+       1.5.6.
+       Спасибо Chris Boulton.
+
+    *) Исправление: переменная $uri могла содержать мусор при возврате
+       ошибок с кодом 400.
+       Спасибо Сергею Боброву.
+
+    *) Исправление: в работе параметра none директивы smtp_auth; ошибка
+       появилась в 1.5.6.
+       Спасибо Святославу Никольскому.
+
+
 Изменения в nginx 1.6.0                                           24.04.2014
 
     *) Стабильная ветка 1.6.x.
--- a/xml/en/security_advisories.xml
+++ b/xml/en/security_advisories.xml
@@ -24,6 +24,14 @@ Patches are signed using one of the
 
 <security>
 
+<item name="STARTTLS command injection"
+      severity="medium"
+      cve="2014-3556"
+      good="1.7.4+, 1.6.1+"
+      vulnerable="1.5.6-1.7.3">
+<patch name="patch.2014.starttls.txt" />
+</item>
+
 <item name="SPDY heap buffer overflow"
       severity="major"
       advisory="http://mailman.nginx.org/pipermail/nginx-announce/2014/000135.html"
--- a/xml/index.xml
+++ b/xml/index.xml
@@ -7,6 +7,19 @@
 
 <news name="nginx news" link="/" lang="en">
 
+<event date="2014-08-05">
+<para>
+<link doc="en/download.xml">nginx-1.6.1</link>
+stable and
+<link doc="en/download.xml">nginx-1.7.4</link>
+mainline versions has been released,
+with a fix for the
+<link doc="en/security_advisories.xml">STARTTLS vulnerability</link>
+discovered by Chris Boulton
+(CVE-2014-3556).
+</para>
+</event>
+
 <event date="2014-07-08">
 <para>
 <link doc="en/download.xml">nginx-1.7.3</link>
--- a/xml/versions.xml
+++ b/xml/versions.xml
@@ -9,6 +9,7 @@
 
 <download tag="mainline" changes="">
 
+<item ver="1.7.4" />
 <item ver="1.7.3" />
 <item ver="1.7.2" />
 <item ver="1.7.1" />
@@ -19,6 +20,7 @@
 
 <download tag="stable" changes="1.6">
 
+<item ver="1.6.1" />
 <item ver="1.6.0" />
 <item ver="1.5.13" />
 <item ver="1.5.12" />