Выпуск nginx 1.25.2

16.08.2023 08:12

Сформирован выпуск основной ветки nginx 1.25.2, в рамках которой продолжается развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.24.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.25.x будет сформирована стабильная ветка 1.26. Код проекта написан на языке Си и распространяется под лицензией BSD.

Среди изменений:

При использовании HTTP/3 реализовано определение максимального размера информации, которая при обмене данных с заданным хостом может быть передана в пакете без фрагментации (Path MTU Discovery).
При использовании HTTP/3 предоставлена возможность использования набора шифров TLS_AES_128_CCM_SHA256.
При загрузке конфигурации OpenSSL обеспечено использование "nginx" в качестве имени приложения (параметр appname).
Прекращены попытки загрузки конфигурации OpenSSL в случае, если nginx собран с опцией "--with-openssl", но не выставлена переменная окружения OPENSSL_CONF.
При использовании HTTP/3 налажено выставление переменной $body_bytes_sent.
Устранены ошибки в реализации HTTP/3.

исправить +16 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/59607-nginx

Ключевые слова: nginx

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (49)

1.2, Аноним (2), 08:45, 16/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
Чем ответит корпорация "Веб-сервер и точка", разрабатывающая Ангие?

2.6, Гашпшпщм (?), 09:05, 16/08/2023 [^] [^^] [^^^] [ответить]	+1 +/–
rpmbuild -bb ?

3.10, Аноним (10), 09:22, 16/08/2023 [^] [^^] [^^^] [ответить]

+11 +/–

утром:

1) пресс качат, анжуманя
2) скачять master.zip гитхап
3) перекомпилять

вечером:

1) пресс качат, анжуманя
2) скачять master.zip гитхап
3) перекомпилять

4.21, Аноним (-), 17:13, 16/08/2023 Скрыто ботом-модератором [к модератору]	–1 +/–

2.18, Golangdev (?), 14:05, 16/08/2023 [^] [^^] [^^^] [ответить]

+5 +/–

Как я писал ранее https://www.opennet.ru/openforum/vsluhforumID3/130749.html#35

> Если вдруг это кто читает из Angie (https://www.opennet.ru/opennews/art.shtml?num=59231) - добавляйте туда нормальную поддержку облачных сред, докера, кубера. Это will make Angie great again!
> На подмёрдживании апстрим ветки далеко не уедете =)

пока поддержку докера/k8s не сделают (которая есть, например в traefik) - так и будут вечно догоняющими.

3.19, Аноним (19), 14:13, 16/08/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Зачем? Nginx как прокси был оптимальным решением лет десять назад, а сейчас для облачных сред прекрасно подходит Envoy, до которого nginx-у не дотянуться уже никогда. Так что сейчас единственная функция Nginx в облаке - отдавать статику. А для этого поддержка облака не нужна.

4.20, Аноним (20), 16:25, 16/08/2023 [^] [^^] [^^^] [ответить]	+1 +/–
> Так что сейчас единственная функция Nginx в облаке - отдавать статику. А для этого поддержка облака не нужна. Да и сам Nginx для этого не нужен. Статический контент либо S3-like раздаёт, который сам себе веб-сервер, либо CDN, который тоже отнюдь не Nginx пользуется для этого.

5.25, Аноним (19), 18:55, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
Ставить S3-like на статику без кэширующей прослойки (например, varnish) - звучит как-то не очень.

4.31, Tron is Whistling (?), 20:16, 16/08/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Хосспаде, наплодили костылей...

5.33, Аноним (19), 21:47, 16/08/2023 [^] [^^] [^^^] [ответить]	+1 +/–
В то время, как труЪ одмины до сих пор гоняют всё под Apache, и загружают *.php4 через proftpd.

6.37, Tron is Whistling (?), 22:18, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
Ты не поверишь, массхостинг - именно апач и профтпд. php4 нет, правда. На апаче почти весь ряд проектов. На фронтах (SSL/balance) хапрокси, что на массхостинге, что на проектах. Достаточно труЪ, кмк.

7.38, Аноним (19), 22:49, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
Для 2005 года - вполне неплохо.

8.43, Tron is Whistling (?), 08:35, 17/08/2023 [^] [^^] [^^^] [ответить]	+/–
Вот только клиентов не столько, сколько в 2005, и софт на их хостах далеко не из... текст свёрнут, показать

9.46, Аноним (19), 11:48, 17/08/2023 [^] [^^] [^^^] [ответить]	+/–
Парой комментариев выше вы подтвердили, что там apache и proftpd ... текст свёрнут, показать

10.47, Tron is Whistling (?), 12:39, 17/08/2023 [^] [^^] [^^^] [ответить]	+/–
Э, последние релизы так-то свежие, не Или вам надо смузи от однодневок обмазать... текст свёрнут, показать

11.48, Аноним (19), 19:40, 17/08/2023 [^] [^^] [^^^] [ответить]	+/–
Вот только технологии с тех пор немного ушли вперёд Смузи и хипстеры были на сл... текст свёрнут, показать

3.28, Аноним (28), 19:14, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
Вам нужна, вы и делайте. Миллионам сайтов на вордпрессах и прочих джумлах она не нужна и не будет нужна.

4.35, Аноним (19), 21:54, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
И форумов на phpbb. Не говоря уже о статических домашних страничках всяких Джонов До.

3.40, Валентин Бартенев (?), 23:15, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
Заведите тикет на гитхабе - каких именно фич не хватает и как их лучше сделать (может быть как-нибудь даже лучше, чем в Traefik).

4.41, Golangdev (?), 04:36, 17/08/2023 [^] [^^] [^^^] [ответить]

+/–

Не хватает динамических бэкендов. Которые вычитываются из api докера или кубера. Для настройки используются лэйблы докера или метадата кубера

* docker https://doc.traefik.io/traefik/getting-started/quick-start/ , https://doc.traefik.io/traefik/routing/providers/docker/

* k8s https://doc.traefik.io/traefik/routing/providers/kubernetes-ingress/#on-ingres

В 2-х словах:

> Attach labels to your containers and let Traefik do the rest!

Пример, на docker-compose

version: '3.7'

services:
  traefik:
    image: traefik:v2.9.0
    hostname: traefik
    restart: unless-stopped
    command: --configFile=/etc/traefik/conf/traefik.yml
    ports:
      - 0.0.0.0:8081:8081
    extra_hosts:
      # https://github.com/moby/moby/pull/40007
      # works on Docker for Mac 3.4.0 or Linux Docker 20.10.4
      - "host.docker.internal:host-gateway"
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock:z
      - ./docker/traefik_conf:/etc/traefik/conf:z

  users:
    image: mycorp/users:latest
    deploy:
      labels:
        - "traefik.enable=true"
        - "traefik.http.services.users-service.loadbalancer.server.port=8035"
        - "traefik.http.routers.users-router.rule=PathPrefix('/api/users')"
        - "traefik.http.routers.users-router.entrypoints=http"
        - "traefik.http.routers.users-router.middlewares=auth-middleware@file"

5.44, Аноним (19), 11:43, 17/08/2023 [^] [^^] [^^^] [ответить]	+/–
Зачем в 2023 мучаться с переусложнённым docker-compose, если можно поставить простой, как топор, k3d с любым ingress-контроллером на выбор?

1.3, Аноним (3), 08:57, 16/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А когда уже QUICK и HTTP/3 будут собираться по дефолту, без доп.опций?

2.7, Гашпшпщм (?), 09:07, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
Ага и гостовые сайферы ))

3.12, Аноним (3), 09:41, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
сайферы же при любом раскладе отдельно

2.8, Аноним (8), 09:17, 16/08/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Зачем утруждаться? Доля говорят уже высокая можно на всё забить.

2.9, Tron is Whistling (?), 09:20, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
Не раньше, чем в OpenSSL появится необходимый API, кмк.

3.11, Аноним (3), 09:40, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
А как сборка нжинкса влияет на появление апи у OpenSSL?

4.15, Tron is Whistling (?), 09:53, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
Тут обратная зависимость. Пока что http/3 только с альтернативными либами.

3.13, fi (ok), 09:51, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
а haproxy уже собирается и работает с h3 )))

4.14, Tron is Whistling (?), 09:53, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
> а haproxy уже собирается и работает с h3 ))) Тоже требует отдельного извращения с отдельной либой.

5.22, Аноним (-), 17:15, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
>> а haproxy уже собирается и работает с h3 ))) > Тоже требует отдельного извращения с отдельной либой. Про openssl лучше вообще забыть. В нем вулны каждый месяц находят, апи ужасное, дефолты несекурный, код огромный и авторы не скрывают что дилетанты в крипто. Зачем вам такая чудная либа вообще?

6.24, Tron is Whistling (?), 18:10, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
Небарбершопно?

7.26, Аноним (19), 18:58, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
OpenSSL, начиная с третьей версии, только на смузи и годится, но никак не на TLS-терминирование в проде (деградация производительности до x20). А первую ветку собираются отменить в этом году.

8.30, Tron is Whistling (?), 20:15, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
Прод проду рознь Если вы cloudflare собираете - возможно и нет А на 99 типовы... текст свёрнут, показать

9.34, Аноним (19), 21:49, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
На 99 типовых задач _из вашего личного опыта_, давайте уточним Даже у небольшо... текст свёрнут, показать

10.36, Tron is Whistling (?), 22:12, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
Хосспаде, напугали опенссл десятком kRPS ... текст свёрнут, показать

11.39, Аноним (19), 22:51, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
Ну, судя по комментариям выше, вы до сих пор где-то во временах четвёртой фри, п... текст свёрнут, показать

12.42, Tron is Whistling (?), 08:34, 17/08/2023 [^] [^^] [^^^] [ответить]	+/–
Мы во временах OL9 и UEK R7, смузи не интересует ... текст свёрнут, показать

13.45, Аноним (19), 11:46, 17/08/2023 [^] [^^] [^^^] [ответить]	+/–
3 0 7e, бхахахаха Приятного аппетита, не обляпайтесь ... текст свёрнут, показать

7.49, Аноним (-), 21:10, 17/08/2023 [^] [^^] [^^^] [ответить]

+/–

> Небарбершопно?

Напротив! Это одни из самых первых барбершоперов от крипто. Настолько замшелые что даже еще без гироскутера и смузи. Но все остальное по части разработки софта очень барбершопно. В частности занятие делом в котором не бельмеса, и в котором воздается за некомпетентность.

Кто дебианщикам ACKнул изменение сводящее ключи к списку на 6 мегов? А, вот эти супер-девы? Кто вслепую доверяет рандому от проца? Ах, опять эти "эксперты" крипто? У кого какая-то совершенно левая фича память сервера сливала публике, вместе с ключами? У кого CVE каждый месяц?

Хуже них либу с крипто ну даже не знаю кто делал. Разве что матрикс - там да, смузи хлебнули и еще лучше зашло, end to end сломалось вообще совсем в ноль - в дефолтной либе. Но #2 в этом шит параде точно у openssl.

8.50, Tron is Whistling (?), 21:11, 17/08/2023 [^] [^^] [^^^] [ответить]	+/–
Проблема в том, что всё остальное - ещё хуже ... текст свёрнут, показать

9.52, Аноним (-), 21:31, 17/08/2023 [^] [^^] [^^^] [ответить]	+/–
Это кто сказал Другой либы с CVE стабильно раз в месяц я даже просто так с ходу... текст свёрнут, показать

10.53, Tron is Whistling (?), 21:37, 17/08/2023 [^] [^^] [^^^] [ответить]	+/–
У Неуловимого Джо вообще 0 CVE, и что ... текст свёрнут, показать

6.27, Аноним (19), 18:59, 16/08/2023 [^] [^^] [^^^] [ответить]

+/–

> авторы не скрывают что дилетанты в крипто.

Это было про LibreSSL.

> Зачем вам такая чудная либа вообще?

Потому что WolfSSL пока сыроват.

7.51, Аноним (-), 21:15, 17/08/2023 [^] [^^] [^^^] [ответить]	+/–
Таки - про Open Libre - это форк от опенщиков задолбаных постоянными CVE И они... большой текст свёрнут, показать

8.54, Tron is Whistling (?), 21:49, 17/08/2023 [^] [^^] [^^^] [ответить]	+/–
openSSH, apache, haproxy, squid, postfix, dovecot, curl, openvpn, PHP, openIPMI,... текст свёрнут, показать

8.55, Аноним (19), 12:06, 18/08/2023 [^] [^^] [^^^] [ответить]	+/–
Опёнщик задалбывает практически исключительно NIH-синдром Ага, делали SMTP-серв... текст свёрнут, показать

2.17, OpenEcho (?), 13:22, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
> А когда уже QUICK и HTTP/3 будут собираться по дефолту, без доп.опций? Если сервать не обьемами гугла или яндекса, то caddy по дефолту идет с HTTP3

2.29, Аноним (28), 19:15, 16/08/2023 [^] [^^] [^^^] [ответить]	+/–
Чтобы парится с их отключением? Вам нужно, вы и включайте.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: