В mainline-ветке nginx вышла версия 1.17.4. Изменения внесены в основном в реализацию протокола HTTP/2

• Изменение: улучшено детектирование некорректного поведения клиентов в HTTP/2.
• Изменение: в обработке непрочитанного тела запроса при возврате ошибок в HTTP/2.
• Исправление: директива worker_shutdown_timeout могла не работать при использовании HTTP/2.
• Исправление: при использовании HTTP/2 и директивы proxy_request_buffering в рабочем процессе мог произойти segmentation fault.
• Исправление: на Windows при использовании SSL уровень записи в лог ошибки ECONNABORTED был «crit» вместо «error».
• Исправление: nginx игнорировал лишние данные при использовании chunked transfer encoding.
• Исправление: если использовалась директива return и при чтении тела запроса возникала ошибка, nginx всегда возвращал ошибку 500.
• Исправлена обработка ошибок выделения памяти.

>>> Подробности

Вышли версии nginx 1.15.6 и 1.14.1, в которых исправлены три уязвимости:

• CVE-2018-16843 и CVE-2018-16844 — чрезмерное потребление памяти и CPU в модуле ngx_http_v2_module, реализующем поддержку протокола HTTP/2.
  
• CVE-2018-16845 — отправка клиенту содержимого памяти рабочего процесса при использовании модуля ngx_http_mp4_module

Для эксплуатации первых двух уязвимостей достаточно наличия параметра http2 директивы listen. Эксплуатация CVE-2018-16845 требует директиву mp4 и специально подготовленного mp4-файла.

Также в nginx 1.15.6 исправлен баг, из-за которого nginx, собранный с OpenSSL 1.1.0, но работающий с OpenSSL 1.1.1, всегда разрешал использование протокола TLS 1.3. И добавлен ряд директив, определяющих поведение TCP keepalive (использование параметра сокета SO_KEEPALIVE) в модулях http бэкендов proxy, fastcgi, grpc, memcached/ scgi? uwsgi

Патч, исправляющий CVE-2018-16845

>>> Подробности

NGINX Inc. объявила о выходе новой версии коммерческой ветки сервера nginx. Главным нововведением разработчики называют полноценную поддержку протокола HTTP/2.

На данный момент nginx работает в качестве «HTTP/2 шлюза». Обмен данными с браузером ведется по протоколу HTTP/2, тогда как соединение с бэкендами (fastcgi, wsgi и т.п.) по-прежнему работает по HTTP/1.x. Сохранена обратная совместимость, чтобы пользователи, чьи браузеры не поддерживают HTTP/2, также могли заходить на сайты, работающие по новому протоколу. Для идентификации поддержки браузером HTTP/2 используется протокол ALPN (Application Layer Protocol Negotiation).

Замечание для пользователей SPDY. Поскольку HTTP/2 является развитием протокола SPDY, одновременная работа не предусмотрена. Версия с поддержкой HTTP/2 выпущена в качестве отдельного пакета, при обычном обновлении сервер не станет работать по новому протоколу.

Для свободной версии nginx HTTP/2 на данный момент доступен в виде ранней альфа версии. Патч можно скачать здесь.

Также в данном релизе были внесены следующие изменения:

• Значительно увеличена производительность (по заявлению разработчиков - до девятикратного увеличения) за счет пулов потоков и асинхронного I/O. Также повышена производительность работы на многопроцессорных системах.
• Улучшена работа с правами доступа, добавлена поддержка NTLM.
• Улучшена детализация мониторинга и статистики
• Переработан dashboard панели мониторинга (Скриншот)

>>> Подробности

Тихо и незаметно произошло обновление стабильной версии Firefox до 37.0.1. Выпуск является корректирующим с исправлением двух серьезных уязвимостей.

Первая является критической: ошибка позволяет обойти проверку SSL сертификата в HTTPS соединениях с использованием протокола HTTP/2, что делает возможным проведение MITM атак. Злоумышленник, манипулируя заголовком Alt-Svc, задействует HTTP/2 режим шифрования без аутентификации. Для шифрования не требуется прохождение процедуры подтверждения подлинности сервера. Уязвимость устранена отключением поддержки HTTP/2 Alt-Svc.

Вторая уязвимость позволяет обойти ограничения режима Reader Mode (режим читателя). Ошибка проявляется на Android версии и в сборках для разработчиков. Также устранены ошибки, приводящие к краху браузера в определенных условиях: при некоторых сочетаниях графического оборудования и стороннего ПО.

>>> Подробности

Организация IESG подтвердила финальные версии черновиков протокола HTTP/2 и формата компрессии HPACK. Спецификации отправлены в редактор RFC для присвоения номера и финальной корректировки.

Среди ключевых особенностей бинарного протокола HTTP/2, который пришёл на смену текстовому HTTP/1.1:

• Повышение эффективности использования сетевых ресурсов за счёт мультиплексирования запросов, расстановки приоритетов для запросов и сжатия заголовков HTTP.
• Загрузка нескольких элементов параллельно, посредством одного TCP соединения.
• Поддержка проактивных push уведомлений со стороны сервера.
• Исправлена конвейерная обработка и проблема блокировки начала очереди.

Глава рабочей группы IETF HTTP Working Group Марк Ноттингем (Mark Nottingham) в своем блоге поблагодарил всех, кто внёс свой вклад в разработку новых спецификаций.

>>> Подробности

На сегодняшний день это одно из самых лучших разъяснений о том, что такое протокол http2, зачем он нужен, как он повлияет на веб-разработку и какое будущее ждёт Интернет в связи с его появлением.

>>> Подробности