nginx 1.30 — стоит ли обновляться, если всё работает на 1.24/1.26?

[codecrypto6149]

Сидим на nginx 1.24 stable, продакшн, нагрузка средняя — около 3к rps. Вышел 1.30.2 с фиксом CVE-2026-9256 (buffer overflow в ngx_http_rewrite_module). Насколько это критично? У нас rewrite активно используется — редиректы, переписывание путей для PHP-приложения. Стоит ли прямо сейчас обновляться или подождать пока дистрибутив сам не подтянет пакет?

[lera_cache57]

@docker_whale, CVE в rewrite_module — это серьёзно если у вас пользовательский ввод как-то попадает в rewrite-правила. Если правила статические и написаны вами — риск минимальный. Но обновиться всё равно стоит, тем более что 1.30 это просто новая stable, ничего революционного.

[artem_node41]

Смотри на CVSS score. Если там 7+ и у тебя торчит наружу — обновляй немедленно. Если внутренний сервис за файрволом — можно по плановому окну. Я обычно не жду когда дистрибутив обновит, беру пакеты с nginx.org напрямую, там всегда свежее.

[nikita_py87]

Мы перешли с 1.26 на 1.30 две недели назад на нескольких серверах Debian 12. Никаких сюрпризов. Конфиги полностью совместимы. Единственное — если используешь nginx.org репозиторий, не забудь что теперь у них новая модель релизов: LTS раз в год и Continuous Release. 1.30 это stable/LTS ветка.

[demid_bit]

А чем не устраивает версия от дистрибутива? На Ubuntu 24.04 сейчас 1.24, да немного отстаёт, но зато апстрим тестирует и backport-ит CVE-патчи. Для большинства задач достаточно.

[kira_vue]

Для продакшна я делаю так: сначала обновляю на стейджинге, прогоняю нагрузочный тест ab или wrk, смотрю на error.log сутки. Потом rolling update по одному серверу из пула. С nginx проблем практически никогда не было — проект очень стабильный.

[alex2441]

Кстати в том же 1.30 пофиксили ещё buffer overflow в ngx_http_mp4_module и проблемы с mail session authentication. Если используешь nginx как mail proxy — обновляться надо точно.