nginx

nginx (moteur x) est un serveur proxy et un serveur proxy de courrier électronique à source ouverte, ainsi qu'un serveur Web (HTTP) performant et léger pour Linux, BSD et Windows systèmes d'exploitation. Il est décrit par son développeur comme un plus pour les environnements critiques.

Les principaux points forts sont le proxy inverse accéléré avec la mise en cache, le support accéléré avec la mise en cache des serveurs SCGI, FastCGI, uwsgi et memcached, une architecture modulaire, ainsi que le support TLS SNI et SSL.

Le serveur proxy mail supporte les protocoles SSL (Secure Sockets Layer), STLS, STARTTLS, plusieurs méthodes d'authentification IMAP, POP3 et SMTP, la redirection utilisateur vers un serveur POP3 ou IMAP, ainsi que l'authentification de l'utilisateur et la redirection de connexion . Parmi d'autres fonctionnalités intéressantes, nous pouvons citer la prise en charge de kqueue, sendfile, File AIO, DIRECTIO, accept-filters, et bien plus encore.

Il peut traiter de nombreuses inclusions SSI en même temps, au sein d'une même page web, si elles sont contrôlées par FastCGI ou des serveurs mandatés. En outre, la partie serveur HTTP du programme prend en charge la validation du référenceur HTTP, le streaming MP4 et FLV, Perl intégré, la limitation du taux de réponse, la redirection des codes d'erreur 3xx-5xx, ainsi que la prise en charge des connexions canalisées. >
Serveurs à la fois index et fichiers statiques

Le logiciel peut servir à la fois aux fichiers index et statiques, offre aux utilisateurs une tolérance aux pannes et un équilibrage de charge simple, divers filtres tels que XSLT, gzipping, SSI, transformation d'image, réponses groupées et gammes d'octets.

Parce qu'il offre une configuration facile, logique et flexible, plusieurs sites Web bien connus utilisent le logiciel nginx pour fournir à leurs utilisateurs des informations uniques et de haute qualité. Parmi ceux-ci, on peut citer Wordpress.com, Netflix et FastMail.FM.

À l'heure actuelle, nginx a été testé avec succès sur Linux 2.2-3 (32 bits), Linux 2.6-3 (64 bits), FreeBSD 3-10 (32 bits), FreeBSD 5-10 (64- bit), Solaris 9 (32 bits), Solaris 10 (32 bits et 64 bits), AIX 7.1 (PowerPC), HP-UX 11.31 (IA64), Mac OS X (PowerPC et 32 ​​bits), Windows XP et Windows Server 2003.

Quoi de neuf dans cette version:

• La version stable de nginx-1.12.0 a été libérée, intégrant de nouvelles fonctionnalités et corrections de bugs du 1.11 branche principale .x - incluant la prise en charge des variables et d'autres améliorations dans le module de flux, les correctifs HTTP / 2, la prise en charge de plusieurs certificats SSL de différents types, la prise en charge améliorée des modules dynamiques et plus encore.

Quoi de neuf dans la version:

• La version stable de nginx-1.12.0 a été publiée, incorporant de nouvelles fonctionnalités et corrections de bugs de la branche 1.11.x mainline - incluant le support des variables et autres améliorations dans le module stream, les correctifs HTTP / 2, la prise en charge de plusieurs certificats SSL de types différents, la prise en charge améliorée des modules dynamiques et plus.

Nouveautés dans la version 1.8.1:

• Sécurité: un déréférencement de pointeur non valide peut se produire lors du traitement de la réponse du serveur DNS si le "résolveur" & quot; La directive a été utilisée, permettant à un attaquant capable de falsifier des paquets UDP à partir du serveur DNS de provoquer une erreur de segmentation dans un processus de travail (CVE-2016-0742).
• Sécurité: une condition d'utilisation après libération peut se produire lors du traitement de la réponse CNAME si le "résolveur" & quot; La directive a été utilisée, permettant à un attaquant capable de déclencher la résolution de noms de causer une erreur de segmentation dans un processus de travail, ou pouvant avoir un autre impact potentiel (CVE-2016-0746).
• Sécurité: la résolution CNAME était insuffisamment limitée si le "résolveur" & quot; La directive a été utilisée, permettant à un attaquant capable de déclencher une résolution de noms arbitraire de provoquer une consommation de ressources excessive dans les processus de travail (CVE-2016-0747).
• Bugfix: le "proxy_protocol" & quot; paramètre de "écouter" La directive n'a pas fonctionné si elle n'a pas été spécifiée dans la première "écouter". directive pour une socket d'écoute.
• Bugfix: nginx pourrait ne pas démarrer sur certaines anciennes versions de Linux; le bug était apparu en 1.7.11.
• Correction: une erreur de segmentation peut survenir dans un processus de travail si les "try_files" & quot; et "alias" les directives ont été utilisées à l'intérieur d'un emplacement donné par une expression régulière; le bug était apparu en 1.7.1.
• Bugfix: les & quot; try_files & quot; directive à l'intérieur d'un emplacement imbriqué donné par une expression régulière a fonctionné de manière incorrecte si le "alias" & quot; directive a été utilisée dans l'emplacement extérieur.
• Bugfix: & quot; en-tête déjà envoyé & quot; les alertes peuvent apparaître dans les journaux lors de l'utilisation du cache; le bug était apparu en 1.7.5.
• Correction: une erreur de segmentation peut se produire dans un processus de travail si des paramètres ssl_session_cache différents ont été utilisés dans différents serveurs virtuels.
• Bug: le & quot; expire & quot; directive peut ne pas fonctionner lors de l'utilisation de variables.
• Bugfix: si nginx était construit avec ngx_http_spdy_module, il était possible d'utiliser le protocole SPDY même si le "spdy" paramètre de "écouter" directive n'a pas été spécifiée.

Nouveautés dans la version 1.8.0:

• Inclut de nombreuses nouvelles fonctionnalités de la version 1.7.x branche - y compris la méthode d'équilibrage de la charge de hachage, la vérification du certificat SSL backend, la prise en charge des pools de threads expérimentaux, proxy_request_buffering et bien plus encore.

Quoi de neuf dans la version 1.7.8:

• Changement: maintenant les lignes d'en-tête de demande client "If-Modified-Since", "If-Range", etc sont passées à un backend pendant la mise en cache si nginx sait d'avance que la réponse ne sera pas mis en cache (par exemple, en utilisant proxy_cache_min_uses).
• Modification: maintenant après proxy_cache_lock_timeout nginx envoie une requête à un backend avec la mise en cache désactivée; les nouvelles directives "proxy_cache_lock_age", "fastcgi_cache_lock_age", "scgi_cache_lock_age" et "uwsgi_cache_lock_age"; spécifiez un délai après lequel le verrou sera libéré et une autre tentative de mettre en cache une réponse sera faite.
• Modification: le & quot; log_format & quot; La directive peut maintenant être utilisée uniquement au niveau http.
• Caractéristique: le "proxy_ssl_certificate", "proxy_ssl_certificate_key", "proxy_ssl_password_file", "uwsgi_ssl_certificate", "uwsgi_ssl_certificate_key", et "uwsgi_ssl_password_file"; directives. Merci à Piotr Sikora.
• Feature: il est maintenant possible de passer à un emplacement nommé en utilisant "X-Accel-Redirect". Merci à Toshikuni Fukaya.
• Feature: maintenant le & quot; tcp_nodelay & quot; directive fonctionne avec les connexions SPDY.
• Feature: nouvelles directives dans les scripts de surlignage de syntaxe vim. Merci à Peter Wu.
• Bugfix: nginx a ignoré le "s-maxage". valeur dans le "Cache-Control" ligne d'en-tête de réponse backend. Merci à Piotr Sikora.
• Bugfix: dans le ngx_http_spdy_module. Merci à Piotr Sikora.
• Bugfix: dans le fichier "ssl_password_file" & quot; directive lors de l'utilisation OpenSSL 0.9.8zc, 1.0.0o, 1.0.1j.
• Bugfix: alertes & quot; en-tête déjà envoyé & quot; est apparu dans les journaux si le "post_action" directive a été utilisée; le bug était apparu en 1.5.4.
• Bugfix: alertes & quot; la chaîne de sortie http est vide & quot; peut apparaître dans les journaux si le & quot; postpone_output 0 & quot; directive a été utilisé avec SSI comprend.
• Bugfix: dans le & quot; proxy_cache_lock & quot; directive avec sous-requêtes SSI. Merci à Yichun Zhang.

Quoi de neuf dans la version 1.6.2:

• Sécurité: il était possible de réutiliser des sessions SSL dans des contextes non liés si un cache de session SSL partagé ou la même clé de ticket de session TLS était utilisé pour plusieurs "serveur" et "serveur" blocs (CVE-2014-3616). Merci à Antoine Delignat-Lavaud.
• Correction: les requêtes peuvent se bloquer si le résolveur a été utilisé et un serveur DNS a renvoyé une réponse malformée; le bug était apparu en 1.5.8.
• Bugfix: les requêtes peuvent être bloquées si resolver a été utilisé et un timeout s'est produit lors d'une requête DNS.

Nouveautés dans la version 1.6.1:

• Sécurité: les commandes pipelined n'ont pas été ignorées après la commande STARTTLS dans un proxy SMTP (CVE-2014-3556); le bug était apparu en 1.5.6. Merci à Chris Boulton.
• Bug: la variable $ uri peut contenir des erreurs lors du retour des erreurs avec le code 400. Merci à Sergey Bobrov.
• Bugfix: dans le & quot; none & quot; paramètre dans le "smtp_auth" directif; le bug était apparu en 1.5.6. Merci à Svyatoslav Nikolsky.

Nouveautés dans la version 1.6.0:

• Cette version stable incorpore de nombreuses nouvelles fonctionnalités de la branche 1.5.x - y compris diverses améliorations SSL, la prise en charge de SPDY 3.1, la revalidation du cache avec des requêtes conditionnelles, un module de requête auth et plus.

Quoi de neuf dans la version 1.4.7:

• Sécurité: un débordement de mémoire tampon peut survenir dans un processus de travail lors du traitement d'une requête spécialement conçue par ngx_http_spdy_module, entraînant potentiellement l'exécution de code quelconque (CVE-2014-0133). Merci à Lucas Molas, chercheur à Programa STIC, Fundacion Dr. Manuel Sadosky, Buenos Aires, Argentine.
• Bugfix: dans le & quot; fastcgi_next_upstream & quot; directif. Merci à Lucas Molas.

Quoi de neuf dans la version 1.4.6:

• Bugfix: le & quot; client_max_body_size & quot; La directive peut ne pas fonctionner lors de la lecture d'un corps de requête à l'aide d'un codage de transfert en bloc. le bug était apparu en 1.3.9. Merci à Lucas Molas.
• Correction: une erreur de segmentation peut survenir dans un processus de travail lors de la connexion par proxy des connexions WebSocket.

Nouveautés dans la version 1.4.5:

• Bug: la variable $ ssl_session_id contient une session complète sérialisée au lieu d'un simple identifiant de session. Merci à Ivan Ristic.
• Bugfix: les connexions client peuvent être immédiatement fermées si l'acceptation différée a été utilisée; le bug était apparu en 1.3.15.
• Bugfix: alertes & quot; taille zéro buf dans la sortie & quot; peut apparaître dans les journaux pendant l'envoi par proxy; le bug était apparu en 1.3.9.
• Bugfix: une erreur de segmentation peut survenir dans un processus de travail si le ngx_http_spdy_module a été utilisé.
• Correction: les connexions WebSocket avec proxy risquent de se bloquer juste après l'établissement de la liaison si les méthodes select, poll, ou / dev / poll ont été utilisées.
• Correction: un dépassement de délai peut se produire lors de la lecture du corps de la demande du client dans une connexion SSL à l'aide d'un codage de transfert en bloc.
• Bugfix: fuite de mémoire dans nginx / Windows.

Quoi de neuf dans la version 1.4.4:

• Cette version introduit un correctif pour l'analyse de la ligne de requête vulnérabilité dans nginx 0.8.41 - 1.5.6 découvert par Ivan Fratric de l'équipe de sécurité de Google (CVE-2013-4547).

Nouveautés dans la version 1.5.0:

• Sécurité: un dépassement de la capacité de la pile peut survenir dans un processus de travail lors du traitement d'une requête spécialement conçue, entraînant potentiellement l'exécution de code arbitraire (CVE-2013-2028); le bug était apparu en 1.3.9. Merci à Greg MacManus, iSIGHT Partners Labs.