[nginx-ru-announce] nginx-1.26.1

, gunzip, ssi, sub_filter или grpc_pass. *) Исправление: nginx не собирался gcc 14, если использовался параметр --with-atomic. Спасибо Edgar Bonet. *) Исправление: в HTTP/3. -- Sergey Kandaurov ___ nginx-ru-announce mailing list

[nginx-ru-announce] nginx security advisory (CVE-2024-31079, CVE-2024-32760, CVE-2024-34161, CVE-2024-35200)

директивы listen. Проблемам подвержен nginx 1.25.0-1.25.5, 1.26.0. Проблемы исправлены в nginx 1.27.0, 1.26.1. Спасибо Nils Bars из CISPA. -- Sergey Kandaurov ___ nginx-ru-announce mailing list nginx-ru-announce@nginx.org https://mailman.nginx.org

[nginx-ru-announce] nginx-1.27.0

. *) Исправления в HTTP/3. -- Sergey Kandaurov ___ nginx-ru-announce mailing list nginx-ru-announce@nginx.org https://mailman.nginx.org/mailman/listinfo/nginx-ru-announce

nginx security advisory (CVE-2024-31079, CVE-2024-32760, CVE-2024-34161, CVE-2024-35200)

директивы listen. Проблемам подвержен nginx 1.25.0-1.25.5, 1.26.0. Проблемы исправлены в nginx 1.27.0, 1.26.1. Спасибо Nils Bars из CISPA. -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org https://mailman.nginx.org/mailman/listinfo

nginx-1.26.1

, gunzip, ssi, sub_filter или grpc_pass. *) Исправление: nginx не собирался gcc 14, если использовался параметр --with-atomic. Спасибо Edgar Bonet. *) Исправление: в HTTP/3. -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru

nginx-1.27.0

. *) Исправления в HTTP/3. -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org https://mailman.nginx.org/mailman/listinfo/nginx-ru

[nginx-ru-announce] nginx security advisory (CVE-2024-24989, CVE-2024-24990)

модулем ngx_http_v3_module (по умолчанию не собирается), если в конфигурационном файле используется параметр quic директивы listen. Проблеме подвержен nginx 1.25.0 - 1.25.3. Проблема исправлена в nginx 1.25.4. -- Sergey Kandaurov ___ nginx-ru-announce

nginx security advisory (CVE-2024-24989, CVE-2024-24990)

модулем ngx_http_v3_module (по умолчанию не собирается), если в конфигурационном файле используется параметр quic директивы listen. Проблеме подвержен nginx 1.25.0 - 1.25.3. Проблема исправлена в nginx 1.25.4. -- Sergey Kandaurov ___ nginx-ru mailing

[nginx-ru-announce] nginx-1.25.4

, если использовалось SSL-проксирование и директива image_filter, а ошибки с кодом 415 перенаправлялись с помощью директивы error_page. *) Исправления и улучшения в HTTP/3. -- Sergey Kandaurov ___ nginx-ru-announce mailing list nginx-ru

nginx-1.25.4

, если использовалось SSL-проксирование и директива image_filter, а ошибки с кодом 415 перенаправлялись с помощью директивы error_page. *) Исправления и улучшения в HTTP/3. -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org

Re: nginxQuic: не поддерживаемые опции backlog,deferred и fastopen

> Izorkin mailto:izor...@gmail.com > ___ > nginx-ru mailing list > nginx-ru@nginx.org > https://mailman.nginx.org/mailman/listinfo/nginx-ru -- Sergey Kandaurov ___ nginx-ru

Re: nginxQuic: максимальный размер MTU

ayload_size". > > > -- > С уважением, > Izorkin mailto:izor...@gmail.com > _______ > nginx-ru mailing list > nginx-ru@nginx.org > https://mailman.nginx.org/mailman/listinfo/nginx-ru -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org https://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: nginxQuic: максимальный размер MTU

, что происходит в сети. >> Для этого можно пронаблюдать процесс поиска MTU в debug log, >> см. строчки "probe mtu" / "ack mtu" для выбранного соединения. >> Клиентский лимит логгируется в "quic tp max_udp_payload_size". > > > -- > С уважени

Re: nginxQuic: максимальный размер MTU

mailto:izor...@gmail.com > _______ > nginx-ru mailing list > nginx-ru@nginx.org > https://mailman.nginx.org/mailman/listinfo/nginx-ru -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org https://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: nginxQuic: не поддерживаемые опции backlog,deferred и fastopen

ивается ли backlog для QUIC? > Значение параметра backlog передаётся в вызов listen(). Для сокетов типа SOCK_DGRAM, используемых в QUIC, listen() не поддерживается и в nginx не вызывается, посему для них параметр backlog не имеет смысла. Добавил в список запрещённых параметров, см. патч.

Re: nginxQuic: максимальный размер MTU

льзовании HTTP/3. > > > -- > С уважением, > Izorkin mailto:izor...@gmail.com > ___ > nginx-ru mailing list > nginx-ru@nginx.org > https://mailman.nginx.org/mailman/listinfo/nginx-ru -- Sergey Kandaurov _

Re: nginxQuic: максимальный размер MTU

то происходит автоматически посредством DPLPMTUD начиная с версии 1.25.2. Изменения в nginx 1.25.2 15.08.2023 *) Добавление: path MTU discovery при использовании HTTP/3. -- Sergey Kandaurov ___ nginx-ru mail

Re: msec в заголовке

$content_type; >fastcgi_param HTTPS $https if_not_empty; >fastcgi_param REMOTE_ADDR$remote_addr; >fastcgi_param REQUEST_RECEIVED_TIME$msec; [..] Переменная вычисляется при формировании заголовков запроса на бэкенд. Это происходит после

Re: Поменять дефолтную $scheme с http на https

On Fri, Jul 22, 2022 at 06:57:53PM +0300, Slawa Olhovchenkov wrote: > On Fri, Jul 22, 2022 at 08:47:12PM +0500, Илья Шипицин wrote: > > > а что показывает в хедере Location, если сделать "return 301 /path" ? > > там абсолютный адрес со схемой или относительный ? > > абсолютный со схемой

Re: SSL_do_handshake() failed (SSL: error:141CF06C:SSL routines:tls_parse_ctos_key_share:bad key share) while SSL handshaking

On Tue, Jul 12, 2022 at 04:23:59AM +0300, Maxim Dounin wrote: > Hello! > > On Mon, Jul 11, 2022 at 09:06:53PM +0300, Gena Makhomed wrote: > > > On 10.07.2022 11:41, Maxim Dounin wrote: > > > > >> Как выловить такие ошибки в логе? > > >> я их не вижу, есть ошибки типа warn Но это не то. > > >

Re: директива memcached_force_ranges

.force_ranges = 1; Документацию поправили, спасибо. -- Sergey Kandaurov ___ nginx-ru mailing list -- nginx-ru@nginx.org To unsubscribe send an email to nginx-ru-le...@nginx.org

Re: Сборка 1.21.7 с модулем naxsi

<--- Вот тут и ломается > #include > #include > #include > #include > > В двух первых подключается только string.h > > Лечится комментированием в ngx_event_udp.h > #if (NGX_HAVE_INET6 && NGX_HAVE_IPV6_RECVPKTINFO) > /*struct in6_pktinfopkt

Re: nginxQuic: поддержка Openssl библиотеки quicktls

на ревизии 9680f0badc95 и ниже, то работает. > Да, действительно не попал в шарик. Спасибо. https://hg.nginx.org/nginx-quic/rev/0ee56d2eac44 -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: nginxQuic: поддержка Openssl библиотеки quicktls

отладки. В рамках рефакторинга переменная $quic была удалена: https://hg.nginx.org/nginx-quic/rev/651cc905b7c2 В качестве замены можно использовать переменную $http3, семантика которой аналогична переменной $http2, см. подробнее здесь: https://quic.nginx.org/readme.html. --

Re: nginxQuic: поддержка Openssl библиотеки quicktls

> On 2 Dec 2021, at 17:18, izor...@gmail.com wrote: > > Здравствуйте, Sergey. > > Проверил - работает. > Спасибо! > https://hg.nginx.org/nginx-quic/rev/e06283038ec8 -- Sergey Kandaurov ___ nginx-ru mailing list ng

Re: nginxQuic: поддержка Openssl библиотеки quicktls

> On 2 Dec 2021, at 16:30, Maxim Dounin wrote: > > Hello! > > On Thu, Dec 02, 2021 at 01:44:02PM +0300, Sergey Kandaurov wrote: > >>> On 24 Nov 2021, at 22:58, izor...@gmail.com wrote: >>> >>> Здравствуйте. >>> >>> Собрал n

Re: nginxQuic: поддержка Openssl библиотеки quicktls

andling frames, client: 91, server: 0.0.0.0:443 > ``` > Если использовать BoringSSL с аналогичной конфигурацией, то такой ошибки нету. > Попробуйте этот патч: # HG changeset patch # User Sergey Kandaurov # Date 1638441718 -10800 # Thu Dec 02 13:41:58 2021 +0300 # Branch quic

Re: nginxQuic: поддержка Openssl библиотеки quicktls

andling frames, client: 91, server: 0.0.0.0:443 > ``` > Если использовать BoringSSL с аналогичной конфигурацией, то такой ошибки нету. Этой информации недостаточно. Какая ревизия quictls? Что в дебаге вокруг этих сообщений? Чтобы включить дебаг, см. http://n

Re: nginx: запуск HTTP3 протокола на нескольких хостах.

QUIC-Status $quic; >server_name test2.local; >root /var/www/test2; >ssl_certificate /var/certs/test2.crt; >ssl_certificate_key /var/certs/test2.key; > } Параметр reuseport не может быть указан больше одного раза, о

Re: запуск тестов https://github.com/nginx/nginx-tests с включенным ASAN (address sanitizer)

/lib64/libc.so.6+0x22554) > > SUMMARY: AddressSanitizer: 221184 byte(s) leaked in 3 allocation(s). > http://mailman.nginx.org/pipermail/nginx-ru/2020-September/063363.html > скажите, у вас есть практика запуска с asan ? > В линуксе, где LeakSani

Re: Ошибки при использовании zlib-ng

} ctx->allocated = 8192 + 16 + (1 << (wbits + 2)) -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: nginx не реагирует If-Modified-Since

иге, чтобы он учитывал дату последнего > изменения файла графики? Дата учитывается, но см. http://nginx.org/r/if_modified_since -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Почему пустой if ломает работу try files?

> > Почему попадание в if меняет логику работы последующего try_files? https://wiki.nginx.org/IfIsEvil -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: json log и "экранирование" неопределенных переменных

ользуется в эскейпинге по умолчанию, если значение переменной не найдено. В других форматах эскейпинга значение не выводится, подробнее здесь: http://nginx.org/r/log_format/ru -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://

Re: nginx. редирект урла без слеша в конце?

а идем на https? Например, положить в наименее специфичный location: location / { return 301 https://$host$request_uri; } -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Путаница в последовательность записей в логах

вующую конфигурацию, что примерно соответствует: server { listen 127.0.0.1:80; server_name 127.0.0.1; access_log logs/access.log combined buffer=64k; location /nginx-status { stub_status;} } server { listen 80; server_name 11.22.33.44; access_log logs/access.log combined buffer=64k; } Очевидно, что так сделано для удобства, чтобы было достаточно задать параметры буферизации в одном месте. -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: [crit] SSL_read_early_data() failed

ги для приведения их в прежний благопристойный вид? > Можно попробовать патч, понижающий уровень: # HG changeset patch # User Sergey Kandaurov # Date 1582383432 -10800 # Sat Feb 22 17:57:12 2020 +0300 # Node ID ffb1eaf3bd6233d941e531d68785671ae457 # Parent 72b792bb3885727bf381d4c4e

Re: SSL Early Data поддерживает только первый worker?

> On 29 Jan 2020, at 15:06, Maxim Dounin wrote: > > Hello! > > On Wed, Jan 29, 2020 at 01:40:44PM +0300, Sergey Kandaurov wrote: > >> >>> On 29 Jan 2020, at 06:20, Ilya Evseev wrote: >>> >>> Есть Nginx 1.17.8, собран со свежей B

Re: SSL Early Data поддерживает только первый worker?

сессий из кеша (в т.ч. shared) не будет работать и для TLSv1.2 со включёнными по умолчанию тикетами. В TLSv1.2 тикеты можно выключить (ssl_session_tickets off) и использовать session id, в TLSv1.3 это отключит любую возможность восстановления сессий. Используйте OpenSSL, там это работает. -- Sergey Kandaurov ___

Re: повторная отправка POST запросов ?

к отправке запроса (не важно, успели начать отправку тела или нет), запрос считается отправленным, т.к. в общем случае мы не знаем, был ли он обработан или нет. -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Подменить заголовок Expires из PHP

irect: /www/".$file); > > Результат - nginx игнорирует посланный php заголовок. > > Это нормально? Баг или настройка из конфига имеет больший приоритет? Здравствуйте. http://mailman.nginx.org/pipermail/nginx-ru/2015-October/056991.html -- Sergey Kandaurov _

Re: тестирование http2 утилитой h2spec

_MAX_FRAME_SIZE по умолчанию и проверяет получение GOAWAY, который приходит, но по другой причине (и с другим кодом). А именно - в следствие достижения собственного лимита в nginx, который настраивается директивой http2_max_header_size. Дальше не смотрел. -- Sergey Kandaurov ___

Re: Non-idempotent requests vs. upstream failover

анном случае по умолчанию будет попытка выбрать следующий сервер, т.к. запрос ещё не был отправлен. Подробнее тут: http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#non_idempotent -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru

Re: cache file has too long header

ая вместо этого из холодного кеша. Больше ничего не меняется. -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: cache file has too long header

из ушедших с патчем, не вернулся, чтобы сообщить, помогает он или нет. -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: cache file has too long header

ssets.example.com", referrer: > "https://example.com/foo/bar;. Сходил на вышеупомянутый ресурс, увидел в заголовке ответа: vary: Accept-Language Попробуйте этот патч (Node ID f727ed0e9f2f3e4706fa6444e8e3df0a21f8fa3a): http://mailman.nginx.org/pipermail/nginx-devel/2018-January/010774.html

Re: server name с масками в разные конфиги

тете, так устроен порядок обхода виртуальных серверов, см. http://nginx.org/ru/docs/http/server_names.html Как вариант - переделать на регулярные выражения. -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: proxy_pass to variable and upstream server temporarily disabled variable

и адрес сервера в proxy_pass с переменными определяется с помощью resolver'а, то на каждый запрос создаётся новый апстрим. Это может быть не так e.g. в случае алиасинга с неявным апстримом; я бы проверил это в первую очередь. -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: underscores_in_headers - баг в документации ?

> } > > server { > listen 81; > server_name localhost; > > location / { return 418; } > > } > > > > можете проверить (я проверял на 1.15.11 без доп модулей) - не работает. > зато, если добавить в соответствующий сервер

Re: Nginx и регулярные выражения

бы учитывался вариант > (site.ru/catalog/) ? Используйте квантификатор "?": location ~* catalog/(\w+)? https://www.pcre.org/original/doc/html/pcrepattern.html#SEC17 -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: proxy_bind ipv6

; Такая ошибка будет, если имя server порезолвилось в адрес, отличный от ipv6. -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: SSL lags

> On 29 Nov 2018, at 17:33, Maxim Dounin wrote: > > Hello! > > On Thu, Nov 29, 2018 at 12:47:48AM +0300, Sergey Kandaurov wrote: > >>> On 28 Nov 2018, at 23:31, Sergey Komarov wrote: >>> >>> Здравствуйте, >>> Простите за, возмож

Re: SSL lags

ответ здесь: https://www.mail-archive.com/openssl-users@openssl.org/msg71878.html https://tools.ietf.org/html/rfc5246#section-7.4.3 > Или же, нужно в ssl_ciphers выпилить все ECDHE и DHE? -- Sergey Kandaurov ___ nginx-ru mailing list ng

Re: nginx-1.15.7

st=5 delay=5; > пять первых запросов отправленные в ту же секунду к серверу будут > обслужены сразу же, > а шестой и последующие уже будут завершены с ошибкой, > если скорость поступления запросов превышает описанную в зоне? Это эквивалентно limit_req zone=one burst=5 nodelay; Следовательно, ше

Re: Не работает proxy cache lock

ати запросов, в http://nginx.org/r/proxy_cache_use_stale/ru “дополнительный параметр updating разрешает использовать устаревший закэшированный ответ, если на данный момент он уже обновляется” -- Sergey Kandaurov ___ nginx-ru mailing list ng

Re: Список модулей

ngx_http_xslt_filter_module.so ngx_stream_geoip_module.so -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Nginx mail proxy: 12: Cannot allocate memory

72#100581: *304157 SSL_write() failed > (SSL:) (12: Cannot allocate memory) while proxying and sending to > client, client: 212.90.xxx.xxx, server: 0.0.0.0:993, login: > "po@local.domain”, upstream: 10.10.10.10:143 > Netgraph используете? -- Sergey Kandaurov __

Re: error_page не работает

proxy_pass http://local; > error_page 404 /404e.html; > } > location = /404e.html { > return 444; > } > } Попробуйте взглянуть в сторону proxy_intercept_errors. -- Sergey Kandaurov

Re: error_page не работает

04-й код (со всеми заголовками). : Кроме того, можно поменять код ответа на другой, : используя синтаксис вида “=ответ” См. http://nginx.org/r/error_page/ru. [..context lost to top posting] -- Sergey Kandaurov ___ nginx-ru mailing list nginx

Re: FreeBSD и www/nginx-devel

On 02.12.2015 21:13, Dmitry Ivanov wrote: Здравствуйте, All. Второй раз замечаю, что при обновлении порта затирается index.html, который лежит по дефолтному /usr/local/www/nginx Вот сейчас приехал nginx-devel-1.9.7_1, а до этого был скорее всего 1.9.6 Причем "раньше такого не было и вот

Re: "proxy_cache_valid 400" -- возможно ли?

> Не помогло! Если на код 200 в ответе появляется заголовок: > > HTTP/1.1 200 OK > Server: nginx > Date: Thu, 08 Oct 2015 08:54:38 GMT > Content-Length: 0 > Connection: keep-alive > X-Cached: HIT > > то на 400 его уже нет: Используйте параметр always, подро

Re: websocket "Connection refused" IE10 SyntaxError

ugging_log.html -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: ERR_SPDY_PROTOCOL_ERROR nginx 1.9.3

. Какие еще данные и как собрать, чтобы помочь разобраться в проблеме? Как минимум, понадобится debug log соответствующего соединения. http://nginx.org/en/docs/debugging_log.html -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org

Re: Вопрос по производительности.

On Jun 11, 2015, at 3:20 PM, Михаил Монашёв postmas...@softsearch.ru wrote: Здравствуйте, Anton. 2. общие советы по поводу sysctl: kern.ipc.soacceptqueue=5000 (или больше) Это в десятой Фре появилось? И что значит? Более другое название somaxconn. -- Sergey Kandaurov

Re: проксирование больших файлов

в решении нижеописанной проблемы? Верно. Подробнее тут: http://nginx.org/r/proxy_request_buffering/ru http://nginx.org/r/fastcgi_request_buffering/ru -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org

Re: try files и перенаправление 301 для / (корень сайта)

{ try_files $uri /; } } запрос: http://cdn.dev/raw/test.jpg кстати, если выставить try_files $uri //; (два слеша), то выполняется внутренний проброс, без 301 кода. Не указали версию, но скорее всего на этот баг (1.7.2) наступаете: http://hg.nginx.org/nginx/rev/790ba7484bb6 -- Sergey

Re: nginx-1.6.2 Ошибочный синтаксис в конфигурации

On Oct 8, 2014, at 12:35 PM, vvmluxsite nginx-fo...@nginx.us wrote: server ( ... index index.html пропущена точка с запятой include include.conf; } -- Sergey Kandaurov ___ nginx-ru mailing list nginx-ru@nginx.org http

Re: nginx -t Illegal instruction

) ); + +if (ngx_strcmp(cpu_vendor, CyrixInstead) == 0) { +return; +} /* * we could not use %ebx as output parameter if gcc builds PIC, -- Sergey Kandaurov pluk...@nginx.com ___ nginx-ru mailing list nginx-ru@nginx.org http