nginx-1.27.1, nginx-1.26.2.

Author: pluknet

text/en/CHANGES

@@ -1,4 +1,20 @@
 
+Changes with nginx 1.27.1                                        14 Aug 2024
+
+    *) Security: processing of a specially crafted mp4 file by the
+       ngx_http_mp4_module might cause a worker process crash
+       (CVE-2024-7347).
+       Thanks to Nils Bars.
+
+    *) Change: now the stream module handler is not mandatory.
+
+    *) Bugfix: new HTTP/2 connections might ignore graceful shutdown of old
+       worker processes.
+       Thanks to Kasei Wang.
+
+    *) Bugfixes in HTTP/3.
+
+
 Changes with nginx 1.27.0                                        29 May 2024
 
     *) Security: when using HTTP/3, processing of a specially crafted QUIC
@@ -15,7 +31,7 @@ Changes with nginx 1.27.0                                        29 May 2024
     *) Bugfix: reduced memory consumption for long-lived requests if "gzip",
        "gunzip", "ssi", "sub_filter", or "grpc_pass" directives are used.
 
-    *) Bugfix: nginx could not be built by gcc 14 if the --with-atomic
+    *) Bugfix: nginx could not be built by gcc 14 if the --with-libatomic
        option was used.
        Thanks to Edgar Bonet.
 

text/en/CHANGES-1.26

@@ -1,4 +1,12 @@
 
+Changes with nginx 1.26.2                                        14 Aug 2024
+
+    *) Security: processing of a specially crafted mp4 file by the
+       ngx_http_mp4_module might cause a worker process crash
+       (CVE-2024-7347).
+       Thanks to Nils Bars.
+
+
 Changes with nginx 1.26.1                                        29 May 2024
 
     *) Security: when using HTTP/3, processing of a specially crafted QUIC
@@ -11,7 +19,7 @@ Changes with nginx 1.26.1                                        29 May 2024
     *) Bugfix: reduced memory consumption for long-lived requests if "gzip",
        "gunzip", "ssi", "sub_filter", or "grpc_pass" directives are used.
 
-    *) Bugfix: nginx could not be built by gcc 14 if the --with-atomic
+    *) Bugfix: nginx could not be built by gcc 14 if the --with-libatomic
        option was used.
        Thanks to Edgar Bonet.
 

text/ru/CHANGES.ru

@@ -1,4 +1,21 @@
 
+Изменения в nginx 1.27.1                                          14.08.2024
+
+    *) Безопасность: обработка специально созданного mp4-файла модулем
+       ngx_http_mp4_module могла приводить к падению рабочего процесса
+       (CVE-2024-7347).
+       Спасибо Nils Bars.
+
+    *) Изменение: теперь обработчик в модуле stream не является
+       обязательным.
+
+    *) Исправление: новые HTTP/2-соединения могли игнорировать плавное
+       завершение старых рабочих процессов.
+       Спасибо Kasei Wang.
+
+    *) Исправления в HTTP/3.
+
+
 Изменения в nginx 1.27.0                                          29.05.2024
 
     *) Безопасность: при использовании HTTP/3 обработка специально созданной
@@ -16,7 +33,7 @@
        grpc_pass.
 
     *) Исправление: nginx не собирался gcc 14, если использовался параметр
-       --with-atomic.
+       --with-libatomic.
        Спасибо Edgar Bonet.
 
     *) Исправления в HTTP/3.

text/ru/CHANGES.ru-1.26

@@ -1,4 +1,12 @@
 
+Изменения в nginx 1.26.2                                          14.08.2024
+
+    *) Безопасность: обработка специально созданного mp4-файла модулем
+       ngx_http_mp4_module могла приводить к падению рабочего процесса
+       (CVE-2024-7347).
+       Спасибо Nils Bars.
+
+
 Изменения в nginx 1.26.1                                          29.05.2024
 
     *) Безопасность: при использовании HTTP/3 обработка специально созданной
@@ -13,7 +21,7 @@
        grpc_pass.
 
     *) Исправление: nginx не собирался gcc 14, если использовался параметр
-       --with-atomic.
+       --with-libatomic.
        Спасибо Edgar Bonet.
 
     *) Исправление: в HTTP/3.

xml/en/security_advisories.xml

@@ -24,6 +24,14 @@ Patches are signed using one of the
 
 <security>
 
+<item name="Buffer overread in the ngx_http_mp4_module"
+      severity="low"
+      cve="2024-7347"
+      good="1.27.1+, 1.26.2+"
+      vulnerable="1.5.13-1.27.0">
+<patch name="patch.2024.mp4.txt" />
+</item>
+
 <item name="Buffer overwrite in HTTP/3"
       severity="medium"
       advisory="https://mailman.nginx.org/pipermail/nginx-announce/2024/GMY32CSHFH6VFTN76HJNX7WNEX4RLHF6.html"

xml/index.xml

@@ -7,6 +7,18 @@
 
 <news name="nginx news" link="/" lang="en">
 
+<event date="2024-08-14">
+<para>
+<link doc="en/download.xml">nginx-1.26.2</link>
+stable and
+<link doc="en/download.xml">nginx-1.27.1</link>
+mainline versions have been released,
+with a fix for the
+<link doc="en/security_advisories.xml">buffer overread</link>
+vulnerability in the ngx_http_mp4_module (CVE-2024-7347).
+</para>
+</event>
+
 <event date="2024-06-25">
 <para>
 <link doc="en/docs/njs/index.xml">njs-0.8.5</link>

xml/versions.xml

@@ -9,13 +9,15 @@
 
 <download tag="mainline" changes="">
 
+<item ver="1.27.1" />
 <item ver="1.27.0" />
 
 </download>
 
 
 <download tag="stable" changes="1.26">
 
+<item ver="1.26.2" />
 <item ver="1.26.1" />
 <item ver="1.26.0" />
 <item ver="1.25.5" />