Mercurial > hg > nginx-site
changeset 1264:f6d12250cda5
nginx-1.7.4, nginx-1.6.1
author | Maxim Dounin <mdounin@mdounin.ru> |
---|---|
date | Tue, 05 Aug 2014 16:55:14 +0400 |
parents | fb94d6f98b03 |
children | ba6da8f0ecd2 |
files | text/en/CHANGES text/en/CHANGES-1.6 text/ru/CHANGES.ru text/ru/CHANGES.ru-1.6 xml/en/security_advisories.xml xml/index.xml xml/versions.xml |
diffstat | 7 files changed, 134 insertions(+), 4 deletions(-) [+] |
line wrap: on
line diff
--- a/text/en/CHANGES +++ b/text/en/CHANGES @@ -1,4 +1,41 @@ +Changes with nginx 1.7.4 05 Aug 2014 + + *) Security: pipelined commands were not discarded after STARTTLS + command in SMTP proxy (CVE-2014-3556); the bug had appeared in 1.5.6. + Thanks to Chris Boulton. + + *) Change: URI escaping now uses uppercase hexadecimal digits. + Thanks to Piotr Sikora. + + *) Feature: now nginx can be build with BoringSSL and LibreSSL. + Thanks to Piotr Sikora. + + *) Bugfix: requests might hang if resolver was used and a DNS server + returned a malformed response; the bug had appeared in 1.5.8. + + *) Bugfix: in the ngx_http_spdy_module. + Thanks to Piotr Sikora. + + *) Bugfix: the $uri variable might contain garbage when returning errors + with code 400. + Thanks to Sergey Bobrov. + + *) Bugfix: in error handling in the "proxy_store" directive and the + ngx_http_dav_module. + Thanks to Feng Gu. + + *) Bugfix: a segmentation fault might occur if logging of errors to + syslog was used; the bug had appeared in 1.7.1. + + *) Bugfix: the $geoip_latitude, $geoip_longitude, $geoip_dma_code, and + $geoip_area_code variables might not work. + Thanks to Yichun Zhang. + + *) Bugfix: in memory allocation error handling. + Thanks to Tatsuhiko Kubo and Piotr Sikora. + + Changes with nginx 1.7.3 08 Jul 2014 *) Feature: weak entity tags are now preserved on response
--- a/text/en/CHANGES-1.6 +++ b/text/en/CHANGES-1.6 @@ -1,4 +1,19 @@ +Changes with nginx 1.6.1 05 Aug 2014 + + *) Security: pipelined commands were not discarded after STARTTLS + command in SMTP proxy (CVE-2014-3556); the bug had appeared in 1.5.6. + Thanks to Chris Boulton. + + *) Bugfix: the $uri variable might contain garbage when returning errors + with code 400. + Thanks to Sergey Bobrov. + + *) Bugfix: in the "none" parameter in the "smtp_auth" directive; the bug + had appeared in 1.5.6. + Thanks to Svyatoslav Nikolsky. + + Changes with nginx 1.6.0 24 Apr 2014 *) 1.6.x stable branch.
--- a/text/ru/CHANGES.ru +++ b/text/ru/CHANGES.ru @@ -1,4 +1,43 @@ +Изменения в nginx 1.7.4 05.08.2014 + + *) Безопасность: pipelined-команды не отбрасывались после команды + STARTTLS в SMTP прокси-сервере (CVE-2014-3556); ошибка появилась в + 1.5.6. + Спасибо Chris Boulton. + + *) Изменение: экранирование символов в URI теперь использует + шестнадцатеричные цифры в верхнем регистре. + Спасибо Piotr Sikora. + + *) Добавление: теперь nginx можно собрать с BoringSSL и LibreSSL. + Спасибо Piotr Sikora. + + *) Исправление: запросы могли зависать, если использовался resolver и + DNS-сервер возвращал некорректный ответ; ошибка появилась в 1.5.8. + + *) Исправление: в модуле ngx_http_spdy_module. + Спасибо Piotr Sikora. + + *) Исправление: переменная $uri могла содержать мусор при возврате + ошибок с кодом 400. + Спасибо Сергею Боброву. + + *) Исправление: в обработке ошибок в директиве proxy_store и в модуле + ngx_http_dav_module. + Спасибо Feng Gu. + + *) Исправление: при логгировании ошибок в syslog мог происходить + segmentation fault; ошибка появилась в 1.7.1. + + *) Исправление: переменные $geoip_latitude, $geoip_longitude, + $geoip_dma_code и $geoip_area_code могли не работать. + Спасибо Yichun Zhang. + + *) Исправление: в обработке ошибок выделения памяти. + Спасибо Tatsuhiko Kubo и Piotr Sikora. + + Изменения в nginx 1.7.3 08.07.2014 *) Добавление: weak entity tags теперь не удаляются при изменениях @@ -1614,7 +1653,7 @@ Изменения в nginx 0.9.2 06.12.2010 *) Добавление: поддержка строки "If-Unmodified-Since" в заголовке - запросе клиента. + запроса клиента. *) Изменение: использование accept(), если accept4() не реализован; ошибка появилась в 0.9.0. @@ -3562,7 +3601,7 @@ Изменения в nginx 0.6.31 12.05.2008 *) Исправление: nginx не обрабатывал ответ FastCGI-сервера, если строка - заголовка ответ была в конце записи FastCGI; ошибка появилась в + заголовка ответа была в конце записи FastCGI; ошибка появилась в 0.6.2. Спасибо Сергею Серову. @@ -4638,7 +4677,7 @@ *) Добавление: директива ip_hash в блоке upstream. - *) Добавление: статус WAIT в строке "Auth-Status" в заголовка ответа + *) Добавление: статус WAIT в строке "Auth-Status" в заголовке ответа сервера аутентификации IMAP/POP3 прокси. *) Исправление: nginx не собирался на 64-битных платформах; ошибка @@ -6123,7 +6162,7 @@ Изменения в nginx 0.1.36 15.06.2005 - *) Изменение: если в заголовке запросе есть дублирующиеся строки "Host", + *) Изменение: если в заголовке запроса есть дублирующиеся строки "Host", "Connection", "Content-Length" и "Authorization", то nginx теперь выдаёт ошибку 400.
--- a/text/ru/CHANGES.ru-1.6 +++ b/text/ru/CHANGES.ru-1.6 @@ -1,4 +1,20 @@ +Изменения в nginx 1.6.1 05.08.2014 + + *) Безопасность: pipelined-команды не отбрасывались после команды + STARTTLS в SMTP прокси-сервере (CVE-2014-3556); ошибка появилась в + 1.5.6. + Спасибо Chris Boulton. + + *) Исправление: переменная $uri могла содержать мусор при возврате + ошибок с кодом 400. + Спасибо Сергею Боброву. + + *) Исправление: в работе параметра none директивы smtp_auth; ошибка + появилась в 1.5.6. + Спасибо Святославу Никольскому. + + Изменения в nginx 1.6.0 24.04.2014 *) Стабильная ветка 1.6.x.
--- a/xml/en/security_advisories.xml +++ b/xml/en/security_advisories.xml @@ -24,6 +24,14 @@ Patches are signed using one of the <security> +<item name="STARTTLS command injection" + severity="medium" + cve="2014-3556" + good="1.7.4+, 1.6.1+" + vulnerable="1.5.6-1.7.3"> +<patch name="patch.2014.starttls.txt" /> +</item> + <item name="SPDY heap buffer overflow" severity="major" advisory="http://mailman.nginx.org/pipermail/nginx-announce/2014/000135.html"
--- a/xml/index.xml +++ b/xml/index.xml @@ -7,6 +7,19 @@ <news name="nginx news" link="/" lang="en"> +<event date="2014-08-05"> +<para> +<link doc="en/download.xml">nginx-1.6.1</link> +stable and +<link doc="en/download.xml">nginx-1.7.4</link> +mainline versions has been released, +with a fix for the +<link doc="en/security_advisories.xml">STARTTLS vulnerability</link> +discovered by Chris Boulton +(CVE-2014-3556). +</para> +</event> + <event date="2014-07-08"> <para> <link doc="en/download.xml">nginx-1.7.3</link>
--- a/xml/versions.xml +++ b/xml/versions.xml @@ -9,6 +9,7 @@ <download tag="mainline" changes=""> +<item ver="1.7.4" /> <item ver="1.7.3" /> <item ver="1.7.2" /> <item ver="1.7.1" /> @@ -19,6 +20,7 @@ <download tag="stable" changes="1.6"> +<item ver="1.6.1" /> <item ver="1.6.0" /> <item ver="1.5.13" /> <item ver="1.5.12" />