From 9b958b000776c88036cd800c66e7e4ad39e6fd41 Mon Sep 17 00:00:00 2001
From: Roman Arutyunyan <arut@nginx.com>
Date: Thu, 19 Mar 2026 18:53:00 +0400
Subject: nginx-1.28.3-RELEASE

---
 docs/xml/nginx/changes.xml | 131 +++++++++++++++++++++++++++++++++++++++++++++
 1 file changed, 131 insertions(+)

(limited to 'docs/xml/nginx/changes.xml')

diff --git a/docs/xml/nginx/changes.xml b/docs/xml/nginx/changes.xml
index 0b15a9003..4a52d9e96 100644
--- a/docs/xml/nginx/changes.xml
+++ b/docs/xml/nginx/changes.xml
@@ -5,6 +5,137 @@
 <change_log title="nginx">
 
 
+<changes ver="1.28.3" date="2026-03-24">
+
+<change type="security">
+<para lang="ru">
+при обработке COPY- или MOVE-запроса в location'е с включённым
+alias могло произойти переполнение буфера, что позволяло
+атакующему модифицировать исходный или целевой путь за пределы
+document root (CVE-2026-27654).<br/>
+Спасибо Calif.io при содействии Claude и Anthropic Research.
+</para>
+<para lang="en">
+a buffer overflow might occur while handling a COPY or MOVE
+request in a location with "alias", allowing an attacker
+to modify the source or destination path outside of the
+document root (CVE-2026-27654).<br/>
+Thanks to Calif.io in collaboration with Claude and Anthropic Research.
+</para>
+</change>
+
+<change type="security">
+<para lang="ru">
+обработка специально созданного mp4-файла модулем ngx_http_mp4_module
+на 32-битных платформах могла приводить к падению рабочего процесса,
+а также потенциально могла иметь другие последствия (CVE-2026-27784).<br/>
+Спасибо Prabhav Srinath (sprabhav7).
+</para>
+<para lang="en">
+processing of a specially crafted mp4 file by the ngx_http_mp4_module
+on 32-bit platforms might cause a worker process crash,
+or might have potential other impact (CVE-2026-27784).<br/>
+Thanks to Prabhav Srinath (sprabhav7).
+</para>
+</change>
+
+<change type="security">
+<para lang="ru">
+обработка специально созданного mp4-файла модулем ngx_http_mp4_module
+могла приводить к падению рабочего процесса, а также потенциально
+могла иметь другие последствия (CVE-2026-32647).<br/>
+Спасибо Xint Code и Pavel Kohout (Aisle Research).
+</para>
+<para lang="en">
+processing of a specially crafted mp4 file by the ngx_http_mp4_module
+might cause a worker process crash, or might have potential
+other impact (CVE-2026-32647).<br/>
+Thanks to Xint Code and Pavel Kohout (Aisle Research).
+</para>
+</change>
+
+<change type="security">
+<para lang="ru">
+если использовался метод аутентификации CRAM-MD5 или APOP, то
+в рабочем процессе мог произойти segmentation fault,
+если были разрешены повторные попытки аутентификации (CVE-2026-27651).<br/>
+Спасибо Arkadi Vainbrand.
+</para>
+<para lang="en">
+a segmentation fault might occur in a worker process
+if the CRAM-MD5 or APOP authentication methods were used
+and authentication retry was enabled (CVE-2026-27651).<br/>
+Thanks to Arkadi Vainbrand.
+</para>
+</change>
+
+<change type="security">
+<para lang="ru">
+атакующий мог использовать записи PTR DNS чтобы вставить данные
+в auth_http-запросы, а также в команду XCLIENT в SMTP-соединении
+к бекенду (CVE-2026-28753).<br/>
+Спасибо Asim Viladi Oglu Manizada, Colin Warren,
+Xiao Liu (Yunnan University), Yuan Tan (UC Riverside)
+и Bird Liu (Lanzhou University).
+</para>
+<para lang="en">
+an attacker might use PTR DNS records to inject data in
+auth_http requests, as well as in the XCLIENT command in
+the backend SMTP connection (CVE-2026-28753).<br/>
+Thanks to Asim Viladi Oglu Manizada, Colin Warren,
+Xiao Liu (Yunnan University), Yuan Tan (UC Riverside),
+and Bird Liu (Lanzhou University).
+</para>
+</change>
+
+<change type="security">
+<para lang="ru">
+SSL handshake мог завершиться успешно при том, что OCSP
+отклонил клиентский сертификат в модуле stream (CVE-2026-28755).<br/>
+Спасибо Mufeed VH из Winfunc Research.
+</para>
+<para lang="en">
+SSL handshake might succeed despite OCSP rejecting a client
+certificate in the stream module (CVE-2026-28755).<br/>
+Thanks to Mufeed VH of Winfunc Research.
+</para>
+</change>
+
+<change type="change">
+<para lang="ru">
+теперь nginx ограничивает размер и частоту отправки пакетов
+QUIC stateless reset.
+</para>
+<para lang="en">
+now nginx limits the size and rate of QUIC stateless reset packets.
+</para>
+</change>
+
+<change type="bugfix">
+<para lang="ru">
+получение QUIC-пакета в другом рабочем процессе
+могло приводить к разрыву соединения.
+</para>
+<para lang="en">
+receiving a QUIC packet by a wrong worker process
+could cause the connection to terminate.
+</para>
+</change>
+
+<change type="bugfix">
+<para lang="ru">
+в модуле ngx_http_mp4_module.<br/>
+Спасибо Andrew Lacambra.
+</para>
+<para lang="en">
+in the ngx_http_mp4_module.<br/>
+Thanks to Andrew Lacambra.
+</para>
+</change>
+
+</changes>
+
+
 <changes ver="1.28.2" date="2026-02-04">
 
 <change type="security">
-- 
cgit