Nginx 1.31 现已作为最新主线版本发布,具有 HTTP 转发代理支持、增强的上游负载均衡和多项安全修复。
此次更新的主要改进在于ngx_http_tunnel_module,它支持通过该CONNECT方法进行 HTTP 前向代理。此外,此版本还引入了使用auth_basic`@ ProxyAuthenticable` satisfy、`@ProxyAuthenticable` 和`@ auth_delayProxyAuthenticable` 指令的代理身份验证。
Nginx 1.31least_time向上游块添加了该指令,允许管理员根据响应时间而不是连接数或其他方法来平衡 HTTP 和流流量。
对于流模块,该proxy_ssl_alpn指令现在允许在连接到 SSL 上游服务器时选择 ALPN 协议。
在安全方面,Nginx 1.31 修复了CVE-2026-42926ngx_http_proxy_module ,这是一个与指令相关的 HTTP/2 请求注入漏洞proxy_set_body。它还修复了CVE-2026-42945,这是一个 ngx_http_rewrite_module 中的堆缓冲区溢出漏洞,该漏洞可能允许执行任意代码。
此版本还修复了CVE-2026-42946(ngx_http_scgi_module 和 ngx_http_uwsgi_module 中的堆缓冲区过度读取漏洞)以及CVE-2026-42934(ngx_http_charset_module 的 charset_map 指令中与 UTF-8 解码相关的缓冲区过度读取漏洞)。
对于 HTTP/3,Nginx 1.31 修复了CVE-2026-40460,这是一个涉及 QUIC 连接迁移的地址欺骗漏洞。它还修复了CVE-2026-40701,这是一个在启用 ssl_ocsp 指令时,DNS 响应处理期间的释放后使用漏洞。
除了修复 CVE 漏洞外,Nginx 现在还会拒绝带有特定于连接的标头的 HTTP/2 和 HTTP/3 请求,包括Connection`< connection-specific headers>` Proxy-Connection、Keep-Alive` Transfer-Encoding… 和 ` <connection-specific headers>`。只有当 `<connection-specific headers>` 设置为 `<connection-specific headers>` 时,才会接受Upgrade该TE标头。
WebDAV 模块也得到了加强,Nginx 现在会拒绝源和目标相同COPY或MOVE具有父子集合关系的请求。
其他更改包括降低某些 SSL 相关错误的日志记录严重性、更新配置选项以禁用上游粘性模块,以及修复使用proxy_set_body或时 HTTP/2 后端 keepalive 行为的问题proxy_pass_request_body。
Nginx 1.31 现已可通过官方下载渠道和项目的GitHub 发布页面获取。
