nginx

nginx (engine x) to open source, jednoosobowy serwer odwrotnego proxy i serwer proxy poczty, a także wydajny i lekki serwer WWW (HTTP) dla systemów Linux, BSD i Windows system operacyjny. Jest opisywany przez programistę jako plus dla środowisk o znaczeniu krytycznym.

Najważniejsze cechy to przyspieszone odwrotne proxy z buforowaniem, przyspieszona obsługa z buforowaniem SCGI, FastCGI, uwsgi i memcached serwerów, modułowa architektura, a także obsługa TLS SNI i SSL.

Serwer proxy poczty obsługuje obsługę protokołów szyfrowanych SSL (Secure Sockets Layer), STLS, STARTTLS, kilka metod uwierzytelniania dla IMAP, POP3 i SMTP, przekierowanie użytkownika do serwerów POP3 lub IMAP, a także uwierzytelnianie użytkowników i przekierowywanie połączeń . Wśród innych ciekawych funkcji możemy wymienić wsparcie dla kqueue, sendfile, File AIO, DIRECTIO, accept-filters i wiele, wiele więcej.

Może przetwarzać liczne wtrącenia SSI w tym samym czasie na jednej stronie internetowej, jeśli są one kontrolowane przez FastCGI lub serwery proxy. Ponadto część serwera programu obsługująca HTTP obsługuje sprawdzanie odwzorowań HTTP, strumieni MP4 i FLV, wbudowanego perla, ograniczania szybkości odpowiedzi, przekierowania dla kodów błędów 3xx-5xx, a także obsługę połączeń potokowych i podtrzymujących połączenie.

Oprogramowanie może obsługiwać zarówno pliki indeksowe, jak i statyczne, zapewnia użytkownikom tolerancję na błędy i proste równoważenie obciążenia, różne filtry, takie jak XSLT, gzipping, SSI, transformacja obrazu, odpowiedzi typu "chunked" i zakresy bajtów.

Ponieważ zapewnia łatwą, logiczną i elastyczną konfigurację, kilka dobrze znanych stron internetowych korzysta z oprogramowania nginx, aby dostarczać swoim użytkownikom wysokiej jakości i unikalne informacje. Wśród nich można wymienić Wordpress.com, Netflix i FastMail.FM.

W tej chwili nginx został pomyślnie przetestowany na Linux 2.2-3 (32-bit), Linux 2.6-3 (64-bit), FreeBSD 3-10 (32-bit), FreeBSD 5-10 (64- bit), Solaris 9 (32-bitowy), Solaris 10 (32-bitowy i 64-bitowy), AIX 7.1 (PowerPC), HP-UX 11.31 (IA64), Mac OS X (PowerPC i 32-bitowy), Windows XP i Windows Server 2003.

Co nowego w tej wersji:

• Wydano stabilną wersję nginx-1.12.0, zawierającą nowe funkcje i poprawki błędów od wersji 1.11 .x mainline branch - zawiera obsługę zmiennych i innych ulepszeń w module stream, poprawki HTTP / 2, obsługę wielu certyfikatów SSL różnych typów, ulepszoną obsługę modułów dynamicznych i wiele innych.

Co nowego w wersji:

• Wydano stabilną wersję nginx-1.12.0, zawierającą nowe funkcje i poprawki błędów w głównej gałęzi 1.11.x - w tym obsługa zmiennych i innych ulepszeń w module strumienia, poprawki HTTP / 2, obsługa wielu certyfikatów SSL różnych typów, ulepszona obsługa modułów dynamicznych i wiele innych.

Co nowego w wersji 1.8.1:

• Zabezpieczenia: nieprawidłowe przetwarzanie wskaźnika może wystąpić podczas przetwarzania odpowiedzi serwera DNS, jeśli "resolver" została użyta, umożliwiając atakującemu, który może fałszować pakiety UDP z serwera DNS, aby spowodować błąd segmentacji w procesie roboczym (CVE-2016-0742).
• Bezpieczeństwo: warunek użycia-po-zwolnieniu może wystąpić podczas przetwarzania odpowiedzi CNAME, jeśli "resolver" Zastosowano dyrektywę, która umożliwia osobie atakującej, która jest w stanie wywołać rozpoznawanie nazw, spowodować błąd segmentacji w procesie roboczym lub może mieć potencjalny inny wpływ (CVE-2016-0746).
• Bezpieczeństwo: rozwiązywanie nazw CNAME było niewystarczająco ograniczone, jeśli "resolver" została użyta, umożliwiając atakującemu, który jest w stanie wywołać arbitralne rozpoznawanie nazw, powodując nadmierne zużycie zasobów w procesach roboczych (CVE-2016-0747).
• Bugfix: "proxy_protocol" parametr "nasłuchiwania" dyrektywa nie działała, jeśli nie została określona w pierwszym "słuchać" dyrektywa dla gniazda nasłuchiwania.
• Bugfix: nginx może się nie uruchomić na niektórych starych wersjach Linuksa; błąd pojawił się w wersji 1.7.11.
• Bugfix: w procesie roboczym może wystąpić błąd segmentacji, jeśli "try_files" & quot; i "alias"; dyrektywy zostały użyte w miejscu podanym przez wyrażenie regularne; błąd pojawił się w wersji 1.7.1.
• Bugfix: "try_files" & quot; dyrektywa wewnątrz zagnieżdżonej lokacji podana przez wyrażenie regularne działa niepoprawnie, jeśli "alias" Dyrektywę zastosowano w zewnętrznej lokalizacji.
• Bugfix: & quot; nagłówek już wysłany & quot; alerty mogą pojawiać się w dziennikach podczas korzystania z pamięci podręcznej; błąd pojawił się w wersji 1.7.5.
• Bugfix: może wystąpić błąd segmentacji w procesie roboczym, jeśli różne ustawienia ssl_session_cache zostały użyte na różnych serwerach wirtualnych.
• Bugfix: "wygasa" dyrektywa może nie działać podczas używania zmiennych.
• Bugfix: jeśli nginx został zbudowany z modułem ngx_http_spdy_module, możliwe było użycie protokołu SPDY, nawet jeśli "spdy" parametr "nasłuchiwania" dyrektywa nie została określona.

Co nowego w wersji 1.8.0:

• Obejmuje wiele nowych funkcji z głównej linii 1.7.x gałąź - w tym metoda równoważenia obciążenia hash, weryfikacja certyfikatu SSL backendu, eksperymentalna obsługa pul wątków, proxy_request_buffering i inne.

Co nowego w wersji 1.7.8:

• Zmień: teraz "nagłówki" nagłówka żądania klienta są przekazywane do backendu podczas buforowania, jeśli nginx wie z góry, że odpowiedź nie będzie buforowany (np. przy użyciu proxy_cache_min_uses).
• Zmień: teraz po proxy_cache_lock_timeout nginx wysyła żądanie do backendu z wyłączonym buforowaniem; nowe dyrektywy "proxy_cache_lock_age", "fastcgi_cache_lock_age", "scgi_cache_lock_age" i "uwsgi_cache_lock_age"; określ czas, po którym blokada zostanie zwolniona i zostanie podjęta kolejna próba buforowania odpowiedzi.
• Zmień: "format_logu" & quot; Dyrektywę można teraz używać tylko na poziomie http.
• Funkcja: "proxy_ssl_certificate", "proxy_ssl_certificate_key", "proxy_ssl_password_file", "uwsgi_ssl_certificate", "uwsgi_ssl_certificate_key" oraz "uwsgi_ssl_password_file" & quot; uwsgi_ssl_password_file & quot; dyrektywy. Podziękowania dla Piotra Sikory.
• Funkcja: teraz można przejść do nazwanej lokalizacji za pomocą "X-Accel-Redirect". Dzięki Toshikuni Fukaya.
• Funkcja: teraz "tcp_nodelay" dyrektywa działa z połączeniami SPDY.
• Funkcja: nowe dyrektywy w skrypcie vim składni highliting. Podziękowania dla Petera Wu.
• Bugfix: nginx zignorował "s-maxage". wartość w "Cache-Control" linia nagłówka odpowiedzi backendu. Podziękowania dla Piotra Sikory.
• Bugfix: w pakiecie ngx_http_spdy_module. Podziękowania dla Piotra Sikory.
• Bugfix: w "ssl_password_file" & quot; ssl_password_file & quot; dyrektywy przy korzystaniu z OpenSSL 0.9.8zc, 1.0.0o, 1.0.1j.
• Bugfix: alerty & quot; nagłówek już wysłany & quot; pojawiły się w dziennikach, jeśli "post_action" dyrektywę zastosowano; błąd pojawił się w wersji 1.5.4.
• Bugfix: alerty "łańcuch wyjściowy http jest pusty" może pojawić się w dziennikach, jeśli "postpone_output 0" dyrektywa została zastosowana z SSI obejmuje.
• Bugfix: w "proxy_cache_lock & quot; dyrektywę z podrzędnymi podaniami SSI. Dzięki Yichun Zhang.

Co nowego w wersji 1.6.2:

• Bezpieczeństwo: możliwe było ponowne użycie sesji SSL w niespokrewnionych kontekstach, jeśli wspólna pamięć podręczna sesji SSL lub ten sam klucz sesji sesji TLS był używany dla wielu "serwerów". bloki (CVE-2014-3616). Dzięki Antoine Delignat-Lavaud.
• Bugfix: żądania mogą się zawiesić, jeśli został użyty resolver, a serwer DNS zwrócił zniekształconą odpowiedź; błąd pojawił się w wersji 1.5.8.
• Bugfix: żądania mogą się zawiesić, jeśli został użyty resolver i nastąpiło przekroczenie limitu czasu podczas żądania DNS.

Co nowego w wersji 1.6.1:

• Bezpieczeństwo: komendy potokowe nie zostały odrzucone po poleceniu STARTTLS w proxy SMTP (CVE-2014-3556); błąd pojawił się w wersji 1.5.6. Podziękowania dla Chrisa Boultona.
• Bugfix: zmienna $ uri może zawierać śmieci podczas zwracania błędów z kodem 400. Dzięki Sergeyowi Bobrovowi.
• Bugfix: w "none" parametr w "smtp_auth" dyrektywa; błąd pojawił się w wersji 1.5.6. Dzięki Światosławowi Nikolskiemu.

Co nowego w wersji 1.6.0:

• Ta stabilna wersja zawiera wiele nowych funkcji z głównego wiersza 1.5.x - w tym różne ulepszenia protokołu SSL, obsługę SPDY 3.1, rewalidację pamięci podręcznej z warunkowymi żądaniami, moduł żądania uwierzytelnienia i inne.

Co nowego w wersji 1.4.7:

• Bezpieczeństwo: może wystąpić przepełnienie bufora pamięci sterty w proces roboczy podczas obsługi specjalnie spreparowanego żądania przez ngx_http_spdy_module, potencjalnie powodujący wykonanie dowolnego kodu (CVE-2014-0133). Podziękowania dla Lucasa Molasa, badacza z programu Programa STIC, Fundacion Dr. Manuela Sadosky'ego, Buenos Aires, Argentyna.
• Bugfix: w "fastcgi_next_upstream" & quot; dyrektywa. Podziękowania dla Lucasa Molasa.

Co nowego w wersji 1.4.6:

• Bugfix: "client_max_body_size" dyrektywa może nie działać podczas odczytu treści żądania za pomocą kodowanego kodowania transferu; błąd pojawił się w 1.3.9. Podziękowania dla Lucasa Molasa.
• Bugfix: błąd związany z segmentacją może wystąpić w procesie roboczym podczas pośredniczenia w połączeniach WebSocket.

Co nowego w wersji 1.4.5:

• Bugfix: zmienna $ ssl_session_id zawierała pełną sesję serializowaną zamiast tylko identyfikatora sesji. Podziękowania dla Ivana Ristica.
• Bugfix: połączenia z klientami mogą zostać natychmiast zamknięte, jeśli została użyta akceptacja odroczona; błąd pojawił się w wersji 1.3.15.
• Bugfix: ostrzeżenia "zerowy rozmiar buf w wyjściu" może pojawić się w dziennikach podczas pośredniczenia; błąd pojawił się w wersji 1.3.9.
• Bugfix: błąd segmentacji może wystąpić w procesie roboczym, jeśli użyto modułu ngx_http_spdy_module.
• Bugfix: proxy połączenia WebSocket mogą zawiesić się zaraz po uzgadnianiu, jeśli użyto metody select, poll lub / dev / poll.
• Bugfix: może nastąpić przekroczenie limitu czasu podczas odczytywania treści żądania klienta w połączeniu SSL przy użyciu kodowanego kodowania transferu.
• Bugfix: wyciek pamięci w nginx / Windows.

Co nowego w wersji 1.4.4:

• Ta wersja wprowadza poprawkę do analizowania linii żądania Luka w zabezpieczeniach nginx 0.8.41 - 1.5.6 odkryta przez Ivana Fratric z Zespołu bezpieczeństwa Google (CVE-2013-4547).

Co nowego w wersji 1.5.0:

• Bezpieczeństwo: w procesie roboczym może wystąpić przepełnienie bufora oparte na stosie, które obsługuje specjalnie spreparowane żądanie, potencjalnie powodując wykonanie dowolnego kodu (CVE-2013-2028); błąd pojawił się w 1.3.9. Podziękowania dla Grega MacManusa, iSIGHT Partners Labs.