Выпущена новая версия Nginx 1.31, которая включает поддержку перенаправления HTTP, улучшенную балансировку нагрузки на серверы-источники и ряд исправлений, связанных с безопасностью.
Основным нововведением является директива ngx_http_tunnel_module, которая позволяет осуществлять прокси-перенаправление HTTP с помощью метода CONNECT. В этом выпуске также реализована аутентификация прокси с использованием директив auth_basic, satisfy и auth_delay.
В Nginx 1.31 добавлен параметр least_time в блок upstream, позволяющий администраторам балансировать HTTP- и потоковый трафик на основе времени отклика вместо количества соединений или других методов.
Для потоковых модулей директива proxy_ssl_alpn теперь позволяет выбирать протокол ALPN при подключении к SSL-серверам upstream.
С точки зрения безопасности, Nginx 1.31 устраняет уязвимость « CVE-2026-42926 — уязвимость вставки запросов HTTP/2 в ngx_http_proxy_module, связанную с директивой proxy_set_body. Он также устраняет уязвимость CVE-2026-42945 — переполнение буфера в ngx_http_rewrite_module, которое могло привести к выполнению произвольного кода.
В этом выпуске также исправлена уязвимость CVE-2026-42946 — перечитывание буфера в ngx_http_scgi_module и ngx_http_uwsgi_module, а также уязвимость CVE-2026-42934 — перечитывание буфера, связанное с декодированием UTF-8 в директиве charset_map модуля ngx_http_charset_module.
Для HTTP/3 в Nginx 1.31 устранена уязвимость CVE-2026-40460, связанная с подделкой адреса при миграции соединения QUIC. Также устранена уязвимость CVE-2026-40701, связанная с использованием памяти после освобождения при обработке ответов DNS, когда включена директива ssl_ocsp.
В дополнение к исправлениям CVE, Nginx теперь отклоняет HTTP/2- и HTTP/3-запросы с заголовками, специфичными для соединения, включая Connection, Proxy-Connection, Keep-Alive, Transfer-Encoding и Upgrade. Заголовок TE принимается только в том случае, если он установлен в значение trailers.
Модуль WebDAV также был усовершенствован: теперь Nginx отклоняет запросы COPY или MOVE, если источник и назначение идентичны или имеют отношения «родитель-потомок» в коллекции.
Дополнительные изменения включают снижение уровня серьезности регистрации определенных ошибок, связанных с SSL, обновленную опцию configure для отключения модуля upstream sticky, а также исправления поведения keepalive бэкэнда HTTP/2 при использовании proxy_set_body или proxy_pass_request_body.
Nginx 1.31 теперь доступен через официальные каналы загрузки и страницу релизов проекта на GitHub.