Mientras dormías, casi te hackean el servidor. Por suerte ya publicaron parches para Nginx
Investigamos qué lagunas del sistema seguían abiertas hasta el momento.
En el ecosistema de nginx se lanzaron dos actualizaciones que afectan tanto a la rama principal del proyecto como a un fork independiente. Los desarrolladores continúan ampliando la funcionalidad y, al mismo tiempo, corrigen vulnerabilidades que afectan a la seguridad de los servidores.
La versión reciente nginx 1.29.8 corresponde a la rama principal, donde se introducen nuevas capacidades. En paralelo, la línea mantenida 1.28.x recibe únicamente correcciones de errores graves. En el futuro, sobre la base del desarrollo actual se formará la rama estable 1.30. El proyecto sigue distribuyéndose bajo la licencia BSD y el código está escrito en C.
En la versión apareció la directiva max_headers, que limita la cantidad de encabezados HTTP en la solicitud. Si se supera el límite establecido, el servidor devuelve el error 400. La función se trasladó desde FreeNginx. Además, los desarrolladores garantizaron compatibilidad con OpenSSL 4.0, que aún está en fase alfa. Ampliaron las capacidades de la directiva include: ahora en el bloque geo se permiten usar máscaras. Además de las funciones nuevas, corrigieron un error al procesar respuestas con el código 103 y eliminaron el funcionamiento incorrecto de las variables $request_port y $is_request_port en subsolicitudes.
Paralelamente salió la versión FreeNginx 1.29.7 — un fork desarrollado por Maxim Dunin, uno de los desarrolladores clave del proyecto original. FreeNginx se presenta como una base de código independiente sin influencia corporativa y también se distribuye bajo la licencia BSD.
En la nueva versión de FreeNginx añadieron soporte para OpenSSL 4.0 y solucionaron varios problemas de seguridad. Los desarrolladores cerraron un desbordamiento de búfer en el módulo ngx_http_dav_module, que se producía al procesar solicitudes WebDAV COPY y MOVE al usar la directiva alias. A la vulnerabilidad se le asignó el identificador CVE-2026-27654. Además, solucionaron la posibilidad de suplantación de datos mediante registros PTR de DNS, lo que permitía a un atacante interferir en las solicitudes auth_http y en el comando XCLIENT durante la conexión SMTP con el backend. Este defecto recibió el identificador CVE-2026-28753.