Mercurial > hg > nginx-site
changeset 1012:f7fe7da742c6
nginx-1.5.7, nginx-1.4.4
author | Maxim Dounin <mdounin@mdounin.ru> |
---|---|
date | Tue, 19 Nov 2013 18:57:50 +0400 |
parents | 2ad2f30efdf2 |
children | 48fe3c9534bd |
files | text/en/CHANGES text/en/CHANGES-1.4 text/ru/CHANGES.ru text/ru/CHANGES.ru-1.4 xml/en/security_advisories.xml xml/index.xml xml/versions.xml |
diffstat | 7 files changed, 124 insertions(+), 0 deletions(-) [+] |
line wrap: on
line diff
--- a/text/en/CHANGES +++ b/text/en/CHANGES @@ -1,4 +1,45 @@ +Changes with nginx 1.5.7 19 Nov 2013 + + *) Security: a character following an unescaped space in a request line + was handled incorrectly (CVE-2013-4547); the bug had appeared in + 0.8.41. + Thanks to Ivan Fratric of the Google Security Team. + + *) Change: a logging level of auth_basic errors about no user/password + provided has been lowered from "error" to "info". + + *) Feature: the "proxy_cache_revalidate", "fastcgi_cache_revalidate", + "scgi_cache_revalidate", and "uwsgi_cache_revalidate" directives. + + *) Feature: the "ssl_session_ticket_key" directive. + Thanks to Piotr Sikora. + + *) Bugfix: the directive "add_header Cache-Control ''" added a + "Cache-Control" response header line with an empty value. + + *) Bugfix: the "satisfy any" directive might return 403 error instead of + 401 if auth_request and auth_basic directives were used. + Thanks to Jan Marc Hoffmann. + + *) Bugfix: the "accept_filter" and "deferred" parameters of the "listen" + directive were ignored for listen sockets created during binary + upgrade. + Thanks to Piotr Sikora. + + *) Bugfix: some data received from a backend with unbufferred proxy + might not be sent to a client immediately if "gzip" or "gunzip" + directives were used. + Thanks to Yichun Zhang. + + *) Bugfix: in error handling in ngx_http_gunzip_filter_module. + + *) Bugfix: responses might hang if the ngx_http_spdy_module was used + with the "auth_request" directive. + + *) Bugfix: memory leak in nginx/Windows. + + Changes with nginx 1.5.6 01 Oct 2013 *) Feature: the "fastcgi_buffering" directive.
--- a/text/en/CHANGES-1.4 +++ b/text/en/CHANGES-1.4 @@ -1,4 +1,12 @@ +Changes with nginx 1.4.4 19 Nov 2013 + + *) Security: a character following an unescaped space in a request line + was handled incorrectly (CVE-2013-4547); the bug had appeared in + 0.8.41. + Thanks to Ivan Fratric of the Google Security Team. + + Changes with nginx 1.4.3 08 Oct 2013 *) Bugfix: a segmentation fault might occur in a worker process if the
--- a/text/ru/CHANGES.ru +++ b/text/ru/CHANGES.ru @@ -1,4 +1,47 @@ +Изменения в nginx 1.5.7 19.11.2013 + + *) Безопасность: символ, следующий за незакодированным пробелом в строке + запроса, обрабатывался неправильно (CVE-2013-4547); ошибка появилась + в 0.8.41. + Спасибо Ivan Fratric из Google Security Team. + + *) Изменение: уровень логгирования ошибок auth_basic об отсутствии + пароля понижен с уровня error до info. + + *) Добавление: директивы proxy_cache_revalidate, + fastcgi_cache_revalidate, scgi_cache_revalidate и + uwsgi_cache_revalidate. + + *) Добавление: директива ssl_session_ticket_key. + Спасибо Piotr Sikora. + + *) Исправление: директива "add_header Cache-Control ''" добавляла строку + заголовка ответа "Cache-Control" с пустым значением. + + *) Исправление: директива "satisfy any" могла вернуть ошибку 403 вместо + 401 при использовании директив auth_request и auth_basic. + Спасибо Jan Marc Hoffmann. + + *) Исправление: параметры accept_filter и deferred директивы listen + игнорировались для listen-сокетов, создаваемых в процессе обновления + исполняемого файла. + Спасибо Piotr Sikora. + + *) Исправление: часть данных, полученных от бэкенда при + небуферизированном проксировании, могла не отправляться клиенту + сразу, если использовались директивы gzip или gunzip. + Спасибо Yichun Zhang. + + *) Исправление: в обработке ошибок в модуле + ngx_http_gunzip_filter_module. + + *) Исправление: ответы могли зависать если использовался модуль + ngx_http_spdy_module и директива auth_request. + + *) Исправление: утечки памяти в nginx/Windows. + + Изменения в nginx 1.5.6 01.10.2013 *) Добавление: директива fastcgi_buffering.
--- a/text/ru/CHANGES.ru-1.4 +++ b/text/ru/CHANGES.ru-1.4 @@ -1,4 +1,12 @@ +Изменения в nginx 1.4.4 19.11.2013 + + *) Безопасность: символ, следующий за незакодированным пробелом в строке + запроса, обрабатывался неправильно (CVE-2013-4547); ошибка появилась + в 0.8.41. + Спасибо Ivan Fratric из Google Security Team. + + Изменения в nginx 1.4.3 08.10.2013 *) Исправление: в рабочем процессе мог произойти segmentation fault,
--- a/xml/en/security_advisories.xml +++ b/xml/en/security_advisories.xml @@ -24,6 +24,14 @@ Patches are signed using one of the <security> +<item name="Request line parsing vulnerability" + severity="medium" + cve="2013-4547" + good="1.5.7+, 1.4.4+" + vulnerable="0.8.41-1.5.16"> +<patch name="patch.2013.space.txt" /> +</item> + <item name="Memory disclosure with specially crafted HTTP backend responses" severity="medium" advisory="http://mailman.nginx.org/pipermail/nginx-announce/2013/000114.html"
--- a/xml/index.xml +++ b/xml/index.xml @@ -7,6 +7,20 @@ <news name="nginx news" link="/" lang="en"> +<event date="2013-11-19"> +<para> +<link doc="en/download.xml">nginx-1.4.4</link> +stable and +<link doc="en/download.xml">nginx-1.5.7</link> +mainline versions have been released, +with a fix for the +<link doc="en/security_advisories.xml">request line parsing</link> +vulnerability in nginx 0.8.41 - 1.5.6 +discovered by Ivan Fratric of the Google Security Team +(CVE-2013-4547). +</para> +</event> + <event date="2013-10-08"> <para> <link doc="en/download.xml">nginx-1.4.3</link>
--- a/xml/versions.xml +++ b/xml/versions.xml @@ -9,6 +9,7 @@ <download tag="mainline" changes=""> +<item ver="1.5.7" /> <item ver="1.5.6" /> <item ver="1.5.5" /> <item ver="1.5.4" /> @@ -22,6 +23,7 @@ <download tag="stable" changes="1.4"> +<item ver="1.4.4" /> <item ver="1.4.3" /> <item ver="1.4.2" /> <item ver="1.4.1" />