Histórico de Versões do Angie#

2026#

Angie 1.11.3#

Data de lançamento: 06.02.2026.

Segurança#

  • Um atacante em uma posição de intermediário (MITM) antes de um servidor proxy usando TLS, dadas condições além do controle do atacante, poderia injetar dados em texto simples na resposta antes do início do handshake TLS (CVE-2026-1642); a correção foi portada do nginx 1.29.5.

Pacotes#

Angie 1.11.2#

Data de lançamento: 15.01.2026.

Correções#

  • Se o BPF estivesse desabilitado, requisições HTTP/3 poderiam falhar com o erro [alert] sendmsg() failed (90: Message too large) while sending frames; o bug havia aparecido na versão 1.11.0.

  • Requisições HTTP/3 não eram aceitas ao escutar em um endereço wildcard IPv6 com BPF habilitado; o bug havia aparecido na versão 1.11.0.

  • Quando um nome de domínio era especificado na diretiva docker_endpoint, conexões com a API Docker e atualizações dos grupos de servidores upstream não ocorriam.

Pacotes#

02.02.2026

2025#

Angie 1.11.1#

Data de lançamento: 30.12.2025.

Mudanças#

  • Agora, se apenas a porta sem IP for especificada (valor padrão) na diretiva acme_http_port e houver blocos server escutando nessa porta, o tratamento de desafio HTTP para a porta no ACME funciona apenas nos endereços IP configurados nas diretivas listen desses blocos; não haverá tentativa de escutar em todos os endereços IP, como era antes; isso torna a configuração mais flexível e previne o problema com atualização de versões anteriores com configurações onde havia apenas blocos server escutando na porta 80 e endereços IP específicos.

Correções#

  • Requisições HTTP/2 não eram contadas nas estatísticas de zona de servidor; o bug havia aparecido na versão 1.11.0.

  • Quando um cliente ACME estava desabilitado na configuração e não tinha certificado obtido anteriormente, uma requisição da API de estatísticas para esse cliente poderia travar um processo worker.

  • Se as variáveis $http_host ou $cookie_* fossem usadas como chaves na diretiva status_zone dentro do bloco server, requisições HTTP/3 poderiam não ser contadas nesta zona de status.

Pacotes#

Angie 1.11.0#

Data de lançamento: 24.12.2025.

Mudanças#

  • A variável $http_host em requisições HTTP/3 agora é inicializada a partir do valor do pseudo-cabeçalho :authority se o cabeçalho Host não foi passado, o que é normal para clientes; anteriormente, diferenças de versões anteriores do protocolo poderiam causar problemas em configurações com $http_host.

  • Se todos os servidores HTTP em um grupo upstream estiverem indisponíveis ou retornando um erro, a própria página de erro agora é sempre retornada em vez da resposta do último servidor ao receber um status considerado um erro de acordo com a diretiva proxy_next_upstream (e similares); isso garante comportamento consistente em todos os casos.

  • O parâmetro REQUEST_METHOD nos arquivos de configuração fastcgi.conf, fastcgi_params, uwsgi_params e scgi_params agora é definido via variável $upstream_request_method, que assume o valor GET para requisições HEAD quando o cache está configurado; isso previne um problema onde uma requisição HEAD poderia anteriormente resultar no armazenamento de uma resposta vazia, que seria então servida para requisições GET, já que o método de requisição não faz parte da chave de cache em configurações comuns.

  • O tamanho máximo de resposta do servidor ACME agora é limitado pela diretiva acme_max_response_size em vez do parâmetro max_cert_size= da diretiva acme_client; o valor padrão é suficiente para a maioria dos casos, mas se uma atualização de certificado terminar com a mensagem de erro [error] too big subrequest response while sending to client, seu valor deve ser aumentado.

  • O valor padrão da diretiva variables_hash_max_size no módulo HTTP foi aumentado para 2048 para reduzir a possibilidade de um aviso sobre construção de hash não ideal devido a novas variáveis adicionadas durante os anos recentes: [warn] could not build optimal variables_hash, you should increase either variables_hash_max_size: 1024 or variables_hash_bucket_size: 64; ignoring variables_hash_bucket_size.

Recursos#

  • O novo módulo Metric permite coleta arbitrária de métricas HTTP em tempo real com métodos de agregação totalmente configuráveis (contadores, histogramas, médias móveis, etc.); permite rastrear qualquer dado de processamento de requisição em qualquer estágio, agrupado por chaves personalizadas, e expõe as métricas via seção da API /status/http/metric_zones/ (incluindo suporte a Prometheus), fornecendo uma poderosa ferramenta de análise integrada para todo o tráfego HTTP.

  • Suporte para validação ALPN para ACME, habilitado especificando alpn no parâmetro challenge da diretiva acme_client; permite solicitar certificados multi-domínio mantendo apenas a porta HTTPS aberta.

  • Informações sobre clientes ACME e procedimento de solicitação de certificado na seção /status/http/acme_clients/ da API de estatísticas (com suporte a Prometheus).

  • Adicionado suporte para Encrypted Client Hello (ECH) nos módulos SSL HTTP e stream; a nova diretiva ssl_encrypted_hello_key especifica o arquivo com a chave privada; a variável $ssl_encrypted_hello contém informações sobre o uso de ECH. Agradecimentos a Maxim Dounin (freenginx).

  • Conversão do formato de imagem usando o parâmetro convert para a diretiva image_filter.

  • Suporte para formatos AVIF e HEIC no módulo Image Filter.

  • Suporte para PROXY protocol V2 com conexões de servidor upstream no módulo stream e a capacidade de definir valores TLV arbitrários usando a diretiva proxy_protocol_tlv que permite uma string com variáveis.

  • A variável $upstream_request_method que contém o método de requisição upstream, que pode ser diferente do método de requisição do cliente quando o cache está habilitado ou o proxy_method está definido; isso ajuda a evitar o problema comum de configuração onde uma resposta vazia HEAD em cache é servida para requisições GET, bem como evitar cache de respostas HEAD e GET separadamente.

  • Removida a necessidade de definir um bloco server separado com uma diretiva listen 80 para desafios HTTP ACME; a porta de escuta pode ser personalizada usando a diretiva acme_http_port se necessário.

  • Capacidade de contar o número de itens em listas e objetos ao exportar métricas Prometheus; caminhos terminando com uma barra final agora retornam a contagem de itens na coleção da API correspondente.

  • A variável $sent_body contendo o corpo da resposta de uma subrequisição ou requisição externa pelo módulo client.

  • Suporte aos mecanismos de autenticação XOAUTH2 e OAUTHBEARER no módulo proxy de mail. Agradecimentos a Rob Mueller e Maxim Dounin (freenginx).

  • O parâmetro route da diretiva sticky agora pode incluir strings arbitrárias com qualquer número de variáveis.

  • No módulo ACME, o tamanho aproximado de um certificado renovado agora é calculado automaticamente, eliminando a necessidade de aumentar o parâmetro max_cert_size da diretiva acme_client ao emitir um certificado com um número muito grande de domínios; o parâmetro é mantido para casos onde configuração manual ainda é necessária.

  • A variável $upstream_cache_key que contém a chave de cache sendo usada. Agradecimentos a Kirill A. Korinsky e Maxim Dounin (freenginx).

  • Suporte para compilação com biblioteca SSL AWS-LC. Agradecimentos a Piotr Sikora (piotr at aviatrix.com).

  • O novo alvo Makefile test executando a suíte de testes.

  • Toda a funcionalidade do nginx 1.29.3 exceto as diretivas add_header_inherit e add_trailer_inherit, que são omitidas devido ao seu design inadequado.

Correções#

  • Os procedimentos de reload e atualização binária agora funcionam corretamente com conexões HTTP/3; as conexões são adequadamente roteadas para todos os processos existentes usando o módulo BPF.

  • Se todos os servidores em um grupo upstream estivessem indisponíveis ou retornando um erro, então receber uma resposta com erro do último poderia ser considerado um sucesso apesar das configurações da diretiva proxy_next_upstream.

  • Se o caminho na diretiva try_files fosse mais curto que um prefixo no bloco location relevante, então usar um proxy_pass com uma URI poderia travar um processo worker; a correção foi portada do nginx 1.29.4.

  • Se um cliente ACME não fosse referenciado em um bloco stream via qualquer diretiva acme, usar qualquer uma das variáveis $acme_cert_* correspondentes nesse bloco faria com que a configuração fosse rejeitada com um erro unknown variable; o bug havia aparecido na versão 1.10.3.

  • Se a preservação do índice de cache em um arquivo estivesse configurada, o teste de configuração durante a operação poderia terminar com erros [alert] mmap() failed (17: File exists) e [alert] munmap() failed (22: Invalid argument).

  • A diretiva proxy_method era ignorada se proxy_cache_convert_head on fosse acionado.

  • A duração do tempo limite especificado pela opção fail_timeout da diretiva server dentro de um bloco upstream era na verdade um segundo mais longa.

  • O Angie não podia ser compilado no NetBSD 10.0. Agradecimentos a Maxim Dounin (freenginx).

  • Carregar módulos compilados para Angie PRO poderia causar problemas e travamentos devido à incompatibilidade de ABI; agora tais configurações incorretas são proibidas com uma mensagem de erro relevante.

Pacotes#

Angie 1.10.3#

Data de lançamento: 13.11.2025.

Segurança#

  • O processamento de login/senha especialmente criado ao usar o método de autenticação none no módulo SMTP pode causar divulgação de memória do processo worker para o servidor de autenticação (CVE-2025-53859); a correção foi portada do nginx 1.29.1.

Correções#

  • Quando a opção renew_on_load da diretiva acme_client era usada, um certificado obtido anteriormente não seria carregado se existisse. Isso poderia limitar a funcionalidade até que a renovação do certificado fosse concluída. Se o certificado não existisse, as tentativas de obter um novo falhariam com o erro [alert] lseek() failed (9: Bad file descriptor).

  • Se um cliente ACME fosse referenciado no bloco stream mas não no bloco http, ele era desabilitado com o aviso [warn] ACME client ... is defined but not used e nunca buscaria um certificado.

  • Se todas as diretivas acme_client tivessem o parâmetro enabled=off e as variáveis $acme_cert_* relevantes fossem usadas na configuração, o Angie não iniciaria, relatando o erro [emerg] unknown acme_cert_* variable.

  • Se o cliente ACME fosse usado no bloco stream que vinha antes de um bloco http, o Angie não iniciaria, relatando o erro [emerg] ACME client .. is not defined but referenced.

  • Algumas configurações de bloco client podem causar travamentos de processos worker ao usar variáveis que se referem a uma conexão de entrada ausente neste caso.

Pacotes#

Angie 1.10.2#

Data de lançamento: 21.08.2025.

Correções#

  • Configurações do módulo proxy no bloco http poderiam quebrar a funcionalidade de módulos que usam o bloco client para requisições de saída; o bug havia aparecido na versão 1.10.0.

  • Habilitar proxy_ignore_client_abort junto com módulos que usam o bloco client para requisições de saída poderia levar a travamentos do processo worker; o bug havia aparecido na versão 1.10.0.

  • Se um único servidor fosse pré-configurado em um grupo upstream, servidores adicionados via API Docker poderiam não ser incluídos no balanceamento de carga.

  • Se o único servidor em um grupo upstream fosse adicionado via API Docker, ele poderia ser excluído do balanceamento de carga quando detectado como indisponível.

Pacotes#

Angie 1.10.1#

Data de lançamento: 17.07.2025.

Mudanças#

  • Diretivas especificadas no bloco client agora só podem ser herdadas por blocos location explicitamente declarados dentro desse bloco, para que não afetem a configuração de outros módulos que implicitamente usam o bloco client para requisições de saída.

Recursos#

  • Suporte para múltiplos blocos client permite que configurações comuns para diferentes blocos location sejam agrupadas dentro de cada bloco, o que mitiga a duplicação de configuração.

Correções#

  • Quando o parâmetro reuseport era usado na diretiva listen, todas as conexões para o endereço e porta especificados eram tratadas por um único processo worker; o bug havia aparecido na versão 1.10.0.

  • Um handshake HTTP/3 com um servidor upstream poderia falhar com a biblioteca OpenSSL versão 3.5.0 ou posterior se o modo retry do protocolo QUIC estivesse ativo no servidor.

  • Compilar os módulos HTTP/2 e HTTP/3 usando GCC 15 resultava em um erro.

  • Compilar com a flag -O3 poderia resultar em um erro ao usar GCC.

Angie 1.10.0#

Data de lançamento: 03.07.2025.

Recursos#

  • Recuperação automática e atualização dinâmica de grupos de servidores proxy baseada em labels de contêineres Docker (ou Podman), configurada usando a diretiva docker_endpoint. Isso permite monitoramento em tempo real de eventos de início e parada de contêineres via o endpoint da API Docker especificado, e permite que seus endereços sejam adicionados ou removidos de um grupo upstream baseado em suas labels — tudo sem exigir um reload de configuração.

  • Suporte para aquisição automática de certificados no módulo stream via protocolo ACME, configurado com a diretiva acme e variáveis como $acme_cert_* e $acme_cert_key_*.

  • Suporte para tratamento de conexões MPTCP usando o parâmetro multipath da diretiva listen. Agradecimentos a Maxim Dounin (freenginx), Maxime Dourov e Anthony Doeraene.

  • Novo bloco client, que permite especificação de configuração adicional para requisições HTTP internas emitidas por vários módulos.

  • Inclui toda a funcionalidade do nginx 1.27.5, incluindo controle de congestionamento CUBIC para conexões QUIC.

Pacotes#

14.07.2025

Angie 1.9.1#

Data de lançamento: 29.05.2025.

Recursos#

  • Suporte para endereços IP junto com números de porta na diretiva acme_dns_port; tanto IPv4 quanto IPv6 são permitidos.

Correções#

  • Usar tanto um domínio wildcard quanto domínios de terceiro nível correspondentes em diretivas server_name poderia fazer com que o servidor ACME falhasse ao emitir um certificado para esses domínios sob um único cliente ACME.

  • No módulo stream, após uma conexão bem-sucedida ao servidor proxy durante uma verificação passiva, seu status na API de estatísticas era erroneamente exibido como unavailable até o fim da sessão.

  • Requisições HTTP/3 poderiam travar e expirar; a correção foi portada do nginx 1.29.0.

  • Um erro precoce ao estabelecer uma conexão HTTP/3 com um servidor proxy poderia causar crash do processo worker.

  • Ao fazer proxy via o protocolo HTTP/3, o número de conexões ativas nas estatísticas poderia ser exibido incorretamente.

Pacotes#

Angie 1.9.0#

Data de lançamento: 11.04.2025.

Funcionalidades#

  • A capacidade de especificar um arquivo na diretiva proxy_cache_path, onde o conteúdo da zona de memória compartilhada com o índice do cache será salvo entre reinicializações do servidor; isso elimina a necessidade de recarregar o cache após uma reinicialização e permite que o servidor volte online quase imediatamente.

  • Suporte de TLS 1.3 Early Data (0-RTT) no módulo stream usando a diretiva ssl_early_data.

  • Novo estado busy para peers upstream na API de estatísticas, indicando que um peer atingiu o limite configurado pela opção max_conns.

  • O parâmetro uri= na diretiva acme_hook permite redefinir a URI da requisição do hook e suporta variáveis.

  • O parâmetro renew_on_load da diretiva acme_client permite forçar a renovação do certificado ao carregar a configuração.

  • O tempo de compilação agora é exibido via o campo build_time do objeto da API de estatísticas /status/angie e na saída da opção de linha de comando -V.

  • Toda a funcionalidade do nginx 1.27.4, exceto pela diretiva keepalive_min_timeout (uma funcionalidade similar existe desde a versão 1.8.0).

Mudanças#

  • O parâmetro enabled=off na diretiva acme_client agora desabilita apenas a renovação de certificado para o cliente em questão enquanto preserva toda outra funcionalidade; a chave e o certificado (se disponíveis) podem ser acessados via as variáveis $acme_cert_*, enquanto o uso de variáveis $acme_hook_* e as diretivas acme não causam erros.

  • O erro no valid domain name defined for ACME client agora é emitido apenas se nenhum nome de domínio válido (ou seja, compatível com ACME) for encontrado no bloco server que referencia um cliente ACME usando a diretiva acme.

Correções de bugs#

  • Se compilado com suporte NTLS, a herança das diretivas proxy_ssl_certificate e proxy_ssl_certificate_key com variáveis não funcionava adequadamente.

Pacotes#

Angie 1.8.3#

Data de lançamento: 02.04.2025.

Correções de bugs#

  • As estatísticas de status_zone no bloco server do módulo HTTP poderiam ser calculadas incorretamente se requisições dentro da mesma conexão pertencessem a diferentes zonas de estatísticas, ou se um erro ocorresse durante o processamento inicial da requisição; o bug havia aparecido na versão 1.8.2.

Pacotes#

04.04.2025

07.04.2025

Angie 1.8.2#

Data de lançamento: 13.02.2025.

Segurança#

  • Validação insuficiente ao tratar servidores virtuais com TLSv1.3 SNI permitia que sessões SSL fossem reutilizadas em um servidor virtual diferente, contornando a verificação de certificado SSL do cliente (CVE-2025-23419); a correção foi portada do nginx 1.27.4.

Correções de bugs#

  • Requisições de API para recuperar valores de estatísticas de uma zona individual, que foi definida via variáveis, poderiam fazer com que um processo worker entrasse em um loop infinito.

  • Requisições HTTP/3 não eram contadas nas estatísticas de zona; o bug havia aparecido na versão 1.8.0.

  • Handshakes TLS usando o protocolo QUIC não eram contados nas estatísticas SSL.

  • A renovação de certificado via o protocolo ACME poderia falhar para nomes de servidor prefixados com um ponto na diretiva server_name.

Pacotes#

2024#

Angie 1.8.1#

Data de lançamento: 28.12.2024.

Correções de bugs#

  • Usar a diretiva status_zone no bloco server do módulo HTTP causava registro excessivo de requisições vazias em access_log em handshakes TLS; o bug havia aparecido na versão 1.8.0.

  • Erros de decodificação em stream HTTP/3 poderiam causar crash do processo worker ao fechar uma conexão QUIC; a correção foi portada do nginx 1.27.4.

  • Enviar pacotes de negociação de versão do protocolo QUIC poderia causar um loop infinito de troca de pacotes; a correção foi portada do nginx 1.27.4.

  • Usar desafio DNS sem hooks no módulo ACME poderia causar crash do processo worker em algumas configurações.

Pacotes#

23.01.2025

27.01.2025

Angie 1.8.0#

Data de lançamento: 19.12.2024.

Funcionalidades#

  • Suporte para desafios DNS-01 através do tratamento de consultas DNS do servidor ACME, o que permite solicitar automaticamente certificados de qualquer tipo, incluindo certificados wildcard.

  • Sistema de hooks no módulo ACME, configurável usando a diretiva acme_hook, que permite o tratamento de desafios de nomes de domínio usando uma aplicação externa para fornecer integração com vários serviços e provedores de hospedagem DNS.

  • O módulo ACME registra algumas informações adicionais: por que exatamente o certificado está sendo renovado, lista completa de nomes de domínio, ID da conta do cliente, longos períodos de inatividade (por exemplo, polling), e o nome de domínio sendo desafiado; essas informações simplificam a solução de problemas e permitem especificar o registro DNS CAA.

  • O parâmetro account_key da diretiva acme_client, que permite reutilizar uma chave existente para a conta do servidor ACME em vez de gerar automaticamente uma nova.

  • Suporte para variáveis nas diretivas status_zone nos módulos stream e HTTP permite contabilizar dinamicamente estatísticas dentro de várias zonas em um único bloco location ou server; em particular, é especialmente útil quando um único bloco server está tratando múltiplos hosts virtuais.

  • Compatibilidade do módulo de compressão HTTP GZip com as versões zlib-ng 2.2.0 e superiores, que anteriormente poderiam causar mensagens [alert] gzip filter failed to use preallocated memory no log de erros.

  • A diretiva max_headers que limita o número de campos de cabeçalho de requisição HTTP para melhor proteção contra ataques DoS. Agradecimentos a Maxim Dounin (freenginx) e Maksim Yevmenkin.

  • As diretivas http3_max_table_capacity e proxy_http3_max_table_capacity para configurar os limites da tabela de compressão dinâmica de cabeçalho HTTP/3.

  • Suporte para compilação cruzada - o sistema de build agora pode usar um script wrapper para executar autotestes, o que permite preparar um build sem executar programas de teste diretamente na plataforma de destino.

  • Toda a funcionalidade do nginx 1.27.3.

Correções de bugs#

  • Clientes HTTP/3 poderiam expirar ao usar 0-RTT; o bug foi herdado do nginx na versão 1.7.0.

  • Proxy com HTTP/3 usando variáveis na diretiva proxy_pass e sem especificar um bloco upstream poderia causar falha do processo worker.

  • Upstreams HTTP/3 usando tabela dinâmica poderiam levar a falha do processo worker se usados com cache.

  • Alguns handshakes SSL poderiam não ser contados nas estatísticas do módulo Stream.

  • Configurações de proxy HTTP/3 especificadas no nível http ou server poderiam ser ignoradas.

  • A diretiva proxy_ssl_certificate não funcionava ao fazer proxy via HTTP/3 com suporte NTLS habilitado.

Mudanças#

  • Ao desligar graciosamente processos worker antigos, conexões keep-alive agora são fechadas apenas após o timeout especificado pela diretiva lingering_timeout ter expirado; esse comportamento permite evitar possíveis erros de cliente ao receber respostas naquele momento. Agradecimentos a Maxim Dounin (freenginx).

  • Desabilitado o cache das variáveis do módulo Stream $ssl_server_name, $ssl_server_cert_type, $ssl_preread_protocol, e $ssl_preread_server_name, o que permite obter valores reais ao usar servidores virtuais.

Pacotes#

Angie 1.7.0#

Data de lançamento: 19.09.2024.

Funcionalidades#

  • Fechamento forçado de todas as conexões para um servidor proxy quando ele é removido do grupo pode ser configurado via as diretivas proxy_connection_drop, grpc_connection_drop, fastcgi_connection_drop, scgi_connection_drop, e uwsgi_connection_drop.

  • Contadores de tipos de consulta DNS enviados na API de estatísticas do resolver, que é coletada com o parâmetro status_zone da diretiva resolver.

  • A variável $ssl_server_cert_type que contém o tipo de certificado selecionado para uma conexão TLS recebida.

  • Desabilitação da criação do arquivo PID com o parâmetro off da diretiva pid, o que pode ser benéfico com imagens imutáveis e controle direto por um gerenciador de serviços. Agradecimentos a Maxim Dounin (freenginx).

  • Criação do arquivo PID tornada atômica via um arquivo temporário intermediário, o que remove um momento em que o arquivo já está no diretório mas ainda vazio, e permite que programas externos o manipulem mais facilmente e de forma confiável.

  • Agora, durante a reconfiguração, nenhuma tentativa é feita para recriar o arquivo PID se o nome na diretiva pid mudou mas aponta para o mesmo arquivo via symlinks; em particular, isso permite evitar problemas em sistemas que migram de /var/run/angie.pid para /run/angie.pid. Agradecimentos a Maxim Dounin (freenginx).

  • Erros de log syslog agora são reportados no máximo uma vez por segundo; isso ajuda a evitar inundar os logs com tais mensagens quando o servidor syslog está inativo ou sobrecarregado. Agradecimentos a Maxim Dounin (freenginx).

  • No módulo Mail proxy, o número máximo de comandos durante autenticação, configurado com a diretiva max_commands, é limitado para melhor proteção contra ataques DoS. Agradecimentos a Maxim Dounin (freenginx).

  • A opção --feature-cache do script ./configure para armazenar em cache seus resultados para otimização ao construir múltiplos módulos ou fazer compilação cruzada.

  • Toda a funcionalidade do nginx 1.27.1.

Correções de bugs#

  • Erros PID file ... not readable (yet?) after start e Failed to parse PID from file... poderiam aparecer ao iniciar com systemd. Agradecimentos a Maxim Dounin (freenginx).

Mudanças#

  • Descrições atualizadas de códigos de status HTTP em conformidade com RFC 9110. Agradecimentos a Maxim Dounin (freenginx) e Michiel W. Beijen.

  • Um máximo de uma linha vazia agora é permitido antes de uma requisição HTTP para melhor proteção contra ataques DoS. Agradecimentos a Maxim Dounin (freenginx).

  • Nomes de campos de cabeçalho HTTP/1.x sem dois pontos no final agora são proibidos; tais campos de cabeçalho inválidos de um cliente ou de um servidor proxy agora causarão uma resposta de erro. Agradecimentos a Maxim Dounin (freenginx) e Maksim Yevmenkin.

  • Ao ler um corpo de requisição usando codificação de transferência HTTP/1.1 chunked, o tamanho total de extensões de chunk ignoradas e campos de cabeçalho de trailer agora é limitado pela diretiva client_max_body_size para melhor proteção contra ataques DoS. Agradecimentos a Maxim Dounin (freenginx) e Bartek Nowotarski.

  • O tipo MIME no arquivo de configuração mime.types foi alterado para image/bmp para a extensão bmp e application/vnd.rar para a extensão rar; definido para application/vnd.debian.binary-package para as extensões deb e udeb. Agradecimentos a Yuriy Izorkin.

Pacotes#

24.10.2024

29.11.2024

Angie 1.6.2#

Data de lançamento: 16.08.2024.

Segurança#

  • O processamento de um arquivo MP4 especialmente criado com o ngx_http_mp4_module poderia causar uma falha do processo worker (CVE-2024-7347); a correção foi portada do nginx 1.27.1.

Angie 1.6.1#

Data de lançamento: 08.08.2024.

Funcionalidades#

Correções de bugs#

  • Ao usar servidores virtuais ou as diretivas pass no módulo stream, conexões poderiam ser contabilizadas incorretamente na API de estatísticas.

  • Processos worker poderiam falhar em configurações com 5 clientes ACME ou mais; o bug havia aparecido na versão 1.6.0.

  • O manuseio de respostas em cache com o cabeçalho X-Accel-Redirect poderia causar falha do processo worker. Agradecimentos a Maxim Dounin (freenginx) e Jiří Setnička.

Pacotes#

Angie 1.6.0#

Data de lançamento: 28.06.2024.

Funcionalidades#

  • A diretiva sticky e opções relacionadas no bloco upstream do módulo stream, que permitem configurar o modo de sessões persistentes onde todas as conexões na sessão são roteadas para o mesmo servidor.

  • Extração de valores de Cookie de conexões RDP usando a diretiva rdp_preread no módulo stream nas variáveis $rdp_cookie e $rdp_cookie_NAME, que permite registrar e vincular sessões de cliente RDP a servidores específicos durante o balanceamento de carga.

  • Suporte para múltiplas diretivas acme em um bloco server, que permite configurar a obtenção de dois tipos de certificados ao mesmo tempo para esse servidor virtual.

  • Opções de linha de comando -m e -M para listar módulos integrados e carregados.

  • Suporte para BoringSSL no módulo ACME.

  • Toda a funcionalidade do nginx 1.27.0, incluindo suporte para servidores virtuais no módulo stream e a diretiva pass, que permite passar conexões aceitas para manuseio por outros sockets de escuta, incluindo módulos HTTP e Mail.

Correções de bugs#

  • Requisição de certificado via protocolo ACME poderia resultar em erro em algumas configurações com uma mensagem de log como [alert] getsockname() failed (9: Bad file descriptor).

  • Requisição de certificado com grande número de nomes de domínio via protocolo ACME poderia resultar em erro com uma mensagem de log como [error] JSON parser error.

  • Clientes ACME em configurações com múltiplas diretivas error_log poderiam registrar mensagens em logs irrelevantes.

Pacotes#

Angie 1.5.2#

Data de lançamento: 03.06.2024.

Segurança#

  • Ao usar HTTP/3, o processamento de uma sessão QUIC especialmente criada poderia causar uma falha do processo worker, divulgação de memória do processo worker em sistemas com MTU maior que 4096 bytes, ou ter outro impacto (CVE-2024-32760, CVE-2024-31079, CVE-2024-35200, CVE-2024-34161); a correção foi portada do nginx 1.26.1.

Pacotes#

Angie 1.5.1#

Data de lançamento: 16.05.2024.

Correções de bugs#

  • O mecanismo proxy_next_upstream não funcionava corretamente ao usar a opção resolve da diretiva server no bloco upstream se o número de endereços IP resolvidos diferisse do número de servidores especificados.

  • Ao solicitar um certificado via protocolo ACME, uma falha de segmentação poderia ocorrer em um processo worker.

  • O mecanismo slow_start não funcionava ao fazer proxy de conexões TCP no módulo stream.

  • Requisições HTTP/3 poderiam resultar em erro se recebidas como dados antecipados TLS 1.3; o bug havia aparecido na versão 1.4.0.

  • Conexão HTTP/3 poderia ser fechada prematuramente ao usar 0-RTT em QUIC.

  • Ao ler um corpo de requisição de uma conexão rápida, a leitura por um longo tempo era possível. Agradecimentos a Maxim Dounin (freenginx).

Mudanças#

  • Agora os clientes ACME não descartam certificados armazenados anteriormente que estavam expirados ou emitidos para uma lista de domínios diferente, mas os usam durante a renovação.

Pacotes#

27.05.2024

  • Adicionados pacotes para Alpine 3.20.

Angie 1.5.0#

Data de lançamento: 27.03.2024.

Funcionalidades#

  • Suporte básico para obtenção e atualização automática de certificados usando o protocolo ACME, configurável com as diretivas acme_client e acme, bem como variáveis da forma $acme_cert_= e $acme_cert_key_=.

  • Configuração de redirecionamento automático, que adiciona barras finais aos URIs de requisição, com a diretiva auto_redirect.

  • Saída de métricas de estatísticas com datas em formato Epoch em vez de ISO 8601 para uso no Prometheus e opcionalmente na API JSON com o argumento de requisição ?date-epoch.

  • Novo estado recovering para peers upstream na API de estatísticas, indicando que um peer está iniciando lentamente após uma falha, como sugerido pela opção slow_start.

  • Agora a opção -V também mostra a versão relevante do nginx, que é útil para compatibilidade com utilitários de terceiros, certbot em particular. Agradecimentos a AdvTechnoKing.

  • Toda a funcionalidade do nginx 1.25.4.

Correções de bugs#

  • Se o mecanismo de reutilização de sessão SSL (proxy_ssl_session_reuse) fosse usado e a lista de servidores proxy fosse atualizada dinamicamente, um vazamento poderia ocorrer na zona de memória compartilhada (zone) configurada para o bloco upstream correspondente.

Pacotes#

28.03.2024

16.04.2024

25.04.2024

Angie 1.4.1#

Data de lançamento: 15.02.2024.

Segurança#

  • Ao usar HTTP/3, um erro de segmentação poderia ter ocorrido em um processo worker durante o processamento de uma sessão QUIC especialmente criada (CVE-2024-24989); note que o Angie a partir da versão 1.4.0 já não é vulnerável ao CVE-2024-24990.

Pacotes#

2023#

Angie 1.4.0#

Data de lançamento: 12.12.2023.

Recursos#

  • Suporte para estabelecer conexões HTTP/3 com servidores upstream no módulo proxy HTTP permitindo que clientes usem versões HTTP arbitrárias. A configuração é feita com a diretiva proxy_http_version e um conjunto de diretivas proxy_quic_ e proxy_http3_.

  • Um mecanismo para colocar o servidor proxy online suavemente após uma falha usando a opção slow_start da diretiva server no bloco upstream.

  • Diretiva mqtt_preread no módulo stream, que permite extrair o nome de usuário e ID do cliente do pacote CONNECT do protocolo MQTT nas variáveis $mqtt_preread_username e $mqtt_preread_clientid.

  • Limitação da taxa de resposta da transmissão de arquivos MP4 para o cliente proporcionalmente ao bitrate usando as diretivas mp4_limit_rate e mp4_limit_rate_after, que reduz a carga de largura de banda.

  • Toda a funcionalidade do nginx 1.25.3.

Correções de bugs#

  • Se um servidor proxy fosse o único em um grupo, ele poderia ser incorretamente relatado como unavailable na API de métricas mesmo após a recuperação.

Pacotes#

18.12.2023

25.12.2023

22.01.2024

Angie 1.3.2#

Data de lançamento: 23.11.2023.

Correções de bugs#

  • possíveis valores incorretos de métricas na saída do Prometheus que usavam variáveis diferentes de $p8s_value para seus valores; na prática o problema poderia ocorrer com angie_http_upstreams_peers_state e angie_stream_upstreams_peers_state do template padrão prometheus_all.conf.

  • algumas tentativas de conexão com servidores upstream poderiam não ter sido adequadamente contabilizadas na API de estatísticas se falhassem imediatamente; o bug havia aparecido na versão 1.3.0.

Pacotes#

04.12.2023

07.12.2023

Angie 1.3.1#

Data de lançamento: 18.10.2023.

Segurança#

  • Adicionadas limitações extras ao manuseio de stream HTTP/2 para melhor proteção contra o ataque DoS conhecido como "HTTP/2 Rapid Reset" (CVE-2023-44487).

Pacotes#

26.10.2023

13.11.2023

Angie 1.3.0#

Data de lançamento: 19.09.2023.

Recursos#

  • Capacidade de especificar múltiplos padrões de correspondência na diretiva location, o que permite combinar vários blocos location com configurações similares e, portanto, simplificar a configuração reduzindo duplicação.

  • Exportação de métricas de estatísticas variadas em formato Prometheus com configuração flexível de template usando as novas diretivas prometheus e prometheus_template.

  • Informações detalhadas e métricas para grupos de servidores upstream stream na interface de estatísticas fornecida pela diretiva api.

  • A opção resolve da diretiva server no bloco upstream do módulo stream que permite monitorar mudanças na lista de endereços IP correspondentes a um nome de domínio, e atualizá-la automaticamente sem a necessidade de recarregar a configuração.

  • A opção service da diretiva server no bloco upstream do módulo stream que permite recuperar listas de endereços de registros DNS SRV, com suporte básico de prioridade.

  • Acesso ao conteúdo dos arquivos de configuração usados pela geração atual de processos worker através da interface fornecida pela diretiva api com a diretiva api_config_files habilitada.

  • Exibição do número da geração de configuração nos títulos dos processos, o que permite monitorar o sucesso de recarregamentos de configuração e o número de gerações anteriores de processos worker usando o utilitário ps.

  • Toda a funcionalidade do nginx 1.25.2.

Correção de bug#

  • A compilação falhava quando as opções ./configure --without-http_upstream_zone_module ou --without-stream_upstream_zone_module eram usadas; o bug havia aparecido na versão 1.2.0.

Mudanças#

  • Agora o appname angie é usado ao carregar a configuração do OpenSSL.

Pacotes#

Angie 1.2.0#

Data de lançamento: 30.05.2023.

Recursos#

  • A diretiva sticky e opções relacionadas no bloco upstream do módulo HTTP que permitem configurar o modo de sessões sticky, onde todas as requisições dentro de uma sessão são roteadas para o mesmo servidor.

  • A variável $upstream_sticky_status que assume valores NEW, HIT ou MISS dependendo do sucesso do roteamento da requisição ao servidor upstream relevante com sessões sticky habilitadas.

  • Suporte para NTLS nos módulos HTTP e stream ao usar a biblioteca TLS TongSuo; o suporte pode ser habilitado através da opção de tempo de compilação ‑‑with‑ntls e configurado com as diretivas correspondentes ssl_ntls e proxy_ssl_ntls.

  • Nos módulos de proxy HTTP e stream, a capacidade de especificar múltiplos certificados com diferentes tipos (RSA e ECDSA) e chaves correspondentes usando as diretivas proxy_ssl_certificate e proxy_ssl_certificate_key.

  • Exibição da versão e nome da compilação no título do processo master, que permite obter essas informações sobre uma instância de servidor em execução usando o utilitário ps.

  • A capacidade do módulo gzip de compactar respostas "207 Multi-Status". Agradecimentos a DBotThePony.

  • Toda a funcionalidade do nginx 1.25.0, incluindo suporte a HTTP/3.

Pacotes#

13.06.2023

12.07.2023

28.07.2023

18.08.2023

Angie 1.1.0#

Data de lançamento: 24.01.2023.

Recursos#

  • A opção resolve da diretiva server no bloco upstream do módulo HTTP que permite monitorar mudanças na lista de endereços IP correspondentes a um nome de domínio, e atualizá-la automaticamente sem a necessidade de recarregar a configuração.

  • A opção service da diretiva server no bloco upstream do módulo HTTP que permite recuperar listas de endereços de registros DNS SRV, com suporte básico de prioridade.

  • Informações detalhadas e métricas para os grupos de servidores upstream HTTP na interface de estatísticas fornecida pela diretiva api.

  • autoindex usa ordem de classificação natural para listagens de diretório.

  • Toda a funcionalidade do nginx 1.23.3.

Correção de bug#

  • A compilação falhava devido a um aviso falso ao usar GCC 9 ou anterior com a otimização -O2 ou superior.

Pacotes#

15.03.2023

07.04.2023

  • Adicionados pacotes para ALT Linux.

11.05.2023

26.05.2023

  • Adicionados pacotes para Astra Linux Special Edition.

2022#

Angie 1.0.0#

Data de lançamento: 27.10.2022.

Recursos#

  • A diretiva api que fornece uma interface HTTP RESTful para acessar em formato JSON informações básicas sobre uma instância de servidor web, bem como métricas de conexões de cliente, zonas de memória compartilhada, consultas DNS, requisições HTTP, cache de respostas HTTP, sessões TCP/UDP do módulo stream, e zonas dos módulos limit_conn/limit_req.

  • A diretiva status_zone no módulo HTTP para especificar uma zona para coletar métricas de requisição nos contextos server e location.

  • A diretiva status_zone no módulo stream para especificar uma zona para coletar métricas de sessão TCP/UDP.

  • O parâmetro status_zone da diretiva resolver para especificar uma zona para coletar métricas sobre consultas DNS.

  • A variável $angie_version com a versão do Angie.

  • Toda a funcionalidade do nginx 1.23.2.