Разработчики компании «Веб-сервер» исправили уязвимость в коде веб-сервера Angie 1.4.1 и в его коммерческой версии Angie Pro. Изменения коснулись недавно обнаруженной ошибки в экспериментальной реализации протоколов QUIC и HTTP/3 в nginx. Уязвимость CVE-2024-24989 могла привести к ошибке сегментации памяти веб-сервера при использовании специально сформированной QUIC-сессии. Сопутствующая ошибка CVE-2024-24990 не затрагивает Angie, начиная с версии 1.4.0. Об этом Хабру рассказала пресс-служба компании «Веб-сервер».
В середине февраля 2024 года разработчик nginx Максим Дунин заявил, что прекращает работу над проектом и запускает FreeNginx — собственный форк веб-сервера. В письме он рассказал, что нетехнические менеджеры начали вмешиваться в разработку проекта, считая, что они «лучше знают, как разрабатывать проекты с открытым кодом».
Представители компании F5 отметили, что конфликт возник именно из-за уязвимостей CVE-2024-24989 и CVE-2024-24990. Их обнаружили в экспериментальном модуле, который отключён по умолчанию. Менеджеры настаивали на том, что им надо присвоить номера. Некоторые клиенты компании уже используют функции модуля в продакшене. Дунин считал, что ошибки можно исправить как обычные баги и не присваивать им CVE-номера. На фоне этих разногласий он покинул команду разработчиков nginx и начал развивать собственный форк.
