A versão nginx‑1.31.0 foi publicada em 13 de maio às 17:45 (UTC) e traz um conjunto de correções de vulnerabilidades críticas, além de funcionalidades inéditas, como suporte a proxy HTTP forward e o método de balanceamento least_time para HTTP e stream.
Principais correções de segurança (CVE‑2026)
| Vulnerabilidade | Módulo afetado | Descrição resumida |
|---|---|---|
| CVE‑2026‑42926 | ngx_http_proxy_module |
Injeção de requisição em HTTP/2 |
| CVE‑2026‑42945 | ngx_http_rewrite_module |
Buffer overflow |
| CVE‑2026‑42946 | ngx_http_scgi_module e ngx_http_uwsgi_module |
Leitura fora dos limites (buffer overread) |
| CVE‑2026‑42934 | ngx_http_charset_module |
Leitura fora dos limites |
| CVE‑2026‑40460 | HTTP/3 | Spoofing de endereço |
| CVE‑2026‑40701 | OCSP resolver | Use‑after‑free em requisições OCSP |
Essas correções reforçam a robustez do Nginx frente a ataques que exploram falhas de memória e de protocolo, sendo recomendada a atualização imediata para todos os ambientes de produção.
Novas funcionalidades
- Proxy HTTP forward – permite que o Nginx atue como proxy direto (CONNECT) para tráfego HTTP, ampliando seu uso em cenários de filtragem e inspeção de tráfego.
- Método de balanceamento
least_time– nova estratégia que escolhe o servidor upstream com o menor tempo de resposta, disponível tanto para blocoshttpquantostream.
Principais alterações de código
- Inclusão de workflow automático para detectar commits de version bump (GitHub Actions).
- Atualização do OpenSSL nas compilações para Windows (win32).
- Correções de nível de log SSL e ajustes de mensagens de erro (
SSL_R_RECORD_LAYER_FAILURE). - Restrição de cabeçalhos TE duplicados em HTTP/2 e HTTP/3.
- Otimização do uso de memória no encoder stream do HTTP/3.
- Suporte a ALPN em upstreams
proxy_ssl. - Correções de comportamento indefinido em
memcpydurante a inicialização do ciclo (ngx_init_cycle). - Ajustes na validação de caminhos para comandos WebDAV
COPYeMOVE. - Correção de keep‑alive para HTTP/2 quando o corpo da requisição está ausente.
- Implementação do proxy CONNECT (método HTTP) e rejeição de chamadas sem porta especificada.
A lista completa de mudanças pode ser consultada nos commits vinculados ao release.
Contribuições e comunidade
Novos colaboradores apareceram neste ciclo:
- Smeet23, hyuan‑netizen, saikrishnakumarreddy – primeiras contribuições em correções de SSL, opções de configuração e balanceamento least_time.
A comunidade continua ativa, com automações de verificação de stale issues e PRs, além de melhorias na detecção de versões do GCC em casos específicos.
Como atualizar
Para usuários que já utilizam versões anteriores da linha mainline (por exemplo, 1.29.8), basta baixar os artefatos da página de lançamento e recompilar ou substituir os binários conforme a documentação oficial.
# Exemplo de compilação a partir do código fonte
wget https://nginx.org/download/nginx-1.31.0.tar.gz
tar -xzvf nginx-1.31.0.tar.gz
cd nginx-1.31.0
./configure [opções desejadas]
make
sudo make install
Para ambientes Windows, utilize os pacotes pré‑compilados que já incluem a versão atualizada do OpenSSL.
Onde encontrar mais informações
- Changelog oficial: nginx.org/CHANGES
- Página de lançamento no GitHub: release-1.31.0
A atualização para o Nginx 1.31.0 garante correções de segurança críticas e traz recursos que podem melhorar a performance e a flexibilidade de servidores web modernos. Recomenda‑se a adoção imediata por todos os administradores de sistemas.