<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">

<html lang="en" style='--code-editor-font: var(--default-mono-font, "GitLab Mono"), JetBrains Mono, Menlo, DejaVu Sans Mono, Liberation Mono, Consolas, Ubuntu Mono, Courier New, andale mono, lucida console, monospace;'>

<head>

<meta content="text/html; charset=utf-8" http-equiv="Content-Type">

<title>

GitLab

</title>

<style data-premailer="ignore" type="text/css">

a { color: #1068bf; }

</style>

<style>img {

max-width: 100%; height: auto;

}

body {

font-size: .875rem;

}

body {

-webkit-text-shadow: hsla(0,0%,100%,.01) 0 0 1px;

}

body {

font-family: "GitLab Sans",-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,"Noto Sans",Ubuntu,Cantarell,"Helvetica Neue",sans-serif,"Apple Color Emoji","Segoe UI Emoji","Segoe UI Symbol","Noto Color Emoji"; font-size: inherit;

}

</style>

</head>

<body style='font-size: inherit; -webkit-text-shadow: hsla(0,0%,100%,.01) 0 0 1px; font-family: "GitLab Sans",-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,"Noto Sans",Ubuntu,Cantarell,"Helvetica Neue",sans-serif,"Apple Color Emoji","Segoe UI Emoji","Segoe UI Symbol","Noto Color Emoji";'>

<div class="content">

<h3 style="margin-top: 20px; margin-bottom: 10px;">

Salvatore Bonaccorso pushed to branch master at <a href="https://salsa.debian.org/security-tracker-team/security-tracker">Debian Security Tracker / security-tracker</a>

</h3>

<h4 style="margin-top: 10px; margin-bottom: 10px;">

Commits:

</h4>

<ul>

<li>

<strong style="font-weight: 600;"><a href="https://salsa.debian.org/security-tracker-team/security-tracker/-/commit/7fd7a067016741ef5ef982d034ca484fc3dde09e">7fd7a067</a></strong>

<div>

<span> by Carlos Henrique Lima Melara </span> <i> at 2026-05-19T10:45:37+02:00 </i>

</div>

<pre class="commit-message" style='white-space: pre-wrap; display: block; font-size: 14px; color: #3a383f; position: relative; font-family: "GitLab Mono", "JetBrains Mono", "Menlo", "DejaVu Sans Mono", "Liberation Mono", "Consolas", "Ubuntu Mono", "Courier New", "andale mono", "lucida console", monospace; font-variant-ligatures: none; word-break: break-all; word-wrap: break-word; background-color: #fbfafd; border-radius: 2px; margin: 0; padding: 8px 12px; border: 1px solid #dcdcde;'>CVE-2026-28755/nginx: add reference for commit introducing vulnerability

The vulnerability was introduced in 581cf22 [1] as mentioned in the

commit fixing the vulnerability (78f5814) [2]. It reads:

  Stream: fixed client certificate validation with OCSP.

  Check for OCSP status was missed in 581cf22, resulting

  in a broken validation.

581cf22 is the one introducing "client certificate validation with OCSP"

and the ssl_ocsp directive mentioned in the F5 advisory [3].

The patch was cherry-picked for trixie and bookworm via p-u, the patch

seems harmless but it does not fix the vulnerability because it does not

exist on versions older than 1.27.2, so it marks trixie, bookworm and

bullseye as not-affected.

[1] https://github.com/nginx/nginx/commit/581cf22673fc63e206693294161ea32e691a432f

[2] https://github.com/nginx/nginx/commit/78f581487706f2e43eea5a060c516fc4d98090e8

[3] https://my.f5.com/manage/s/article/K000160368

</pre>

</li>

<li>

<strong style="font-weight: 600;"><a href="https://salsa.debian.org/security-tracker-team/security-tracker/-/commit/9cb0e63fa6255fd1b9b52fe88eaedb59556a4fba">9cb0e63f</a></strong>

<div>

<span> by Carlos Henrique Lima Melara </span> <i> at 2026-05-19T10:45:38+02:00 </i>

</div>

<pre class="commit-message" style='white-space: pre-wrap; display: block; font-size: 14px; color: #3a383f; position: relative; font-family: "GitLab Mono", "JetBrains Mono", "Menlo", "DejaVu Sans Mono", "Liberation Mono", "Consolas", "Ubuntu Mono", "Courier New", "andale mono", "lucida console", monospace; font-variant-ligatures: none; word-break: break-all; word-wrap: break-word; background-color: #fbfafd; border-radius: 2px; margin: 0; padding: 8px 12px; border: 1px solid #dcdcde;'>CVE-2026-42946/nginx: bookworm, trixie uploads (both DSA) did not fix it

nginx 1.22.1-9+deb12u7 (bookworm) [1] and 1.26.3-3+deb13u5 (trixie) [2]

included a patch that was a regression commit (39d7d0b) [3] for the fix of

CVE-2026-42946, but they did not include the fix itself (baef7fd) [4].

[1] https://salsa.debian.org/nginx-team/nginx/-/blob/0860088df41f854ccdf6d2a04861466bfe41693e/debian/patches/CVE-2026-42946.patch

[2] https://salsa.debian.org/nginx-team/nginx/-/blob/92f8f092058d77d5ccdd4a58e48053377020a7e0/debian/patches/CVE-2026-42946.patch

[3] https://github.com/nginx/nginx/commit/39d7d0ba0799fcff6baee52b6525f45739593cfd

[4] https://github.com/nginx/nginx/commit/baef7fdac28e4e1fe26509b50b8d15603393e28e

</pre>

</li>

<li>

<strong style="font-weight: 600;"><a href="https://salsa.debian.org/security-tracker-team/security-tracker/-/commit/c06be90c09401cc6a25e255285b44a6d83067d6c">c06be90c</a></strong>

<div>

<span> by Salvatore Bonaccorso </span> <i> at 2026-05-20T07:19:44+02:00 </i>

</div>

<pre class="commit-message" style='white-space: pre-wrap; display: block; font-size: 14px; color: #3a383f; position: relative; font-family: "GitLab Mono", "JetBrains Mono", "Menlo", "DejaVu Sans Mono", "Liberation Mono", "Consolas", "Ubuntu Mono", "Courier New", "andale mono", "lucida console", monospace; font-variant-ligatures: none; word-break: break-all; word-wrap: break-word; background-color: #fbfafd; border-radius: 2px; margin: 0; padding: 8px 12px; border: 1px solid #dcdcde;'>Merge branch 'update-nginx-triage' into 'master'

Update CVE-2026-28755/nginx and CVE-2026-42946/nginx

See merge request security-tracker-team/security-tracker!299</pre>

</li>

</ul>

<h4 style="margin-top: 10px; margin-bottom: 10px;">

2 changed files:

</h4>

<ul>

<li class="file-stats">

<a href="#4716ef5aa8f2742228ba3b3633215c8b808565e3">

data/CVE/list

</a>

</li>

<li class="file-stats">

<a href="#e62529f21c9ae669b87e22679aa248f568607b2e">

data/DSA/list

</a>

</li>

</ul>

<h4 style="margin-top: 10px; margin-bottom: 10px;">

Changes:

</h4>

<li id="4716ef5aa8f2742228ba3b3633215c8b808565e3">

<a href="https://salsa.debian.org/security-tracker-team/security-tracker/-/compare/6f2cb67e16056f18c9dce7c93e81242ee111237c...c06be90c09401cc6a25e255285b44a6d83067d6c#4716ef5aa8f2742228ba3b3633215c8b808565e3"><strong style="font-weight: 600;">data/CVE/list</strong></a>

<hr style="overflow: hidden; border: 1px solid #dcdcde;">

No preview for this file type

<br>

</li>

<li id="e62529f21c9ae669b87e22679aa248f568607b2e">

<a href="https://salsa.debian.org/security-tracker-team/security-tracker/-/compare/6f2cb67e16056f18c9dce7c93e81242ee111237c...c06be90c09401cc6a25e255285b44a6d83067d6c#e62529f21c9ae669b87e22679aa248f568607b2e"><strong style="font-weight: 600;">data/DSA/list</strong></a>

<hr style="overflow: hidden; border: 1px solid #dcdcde;">

No preview for this file type

<br>

</li>

</div>

<div class="footer" style="margin-top: 10px;">

<p style="font-size: small; color: #626168;">

—

<br>

<a href="https://salsa.debian.org/security-tracker-team/security-tracker/-/compare/6f2cb67e16056f18c9dce7c93e81242ee111237c...c06be90c09401cc6a25e255285b44a6d83067d6c">View it on GitLab</a>.

<br>

You're receiving this email because of your account on <a target="_blank" rel="noopener noreferrer" href="https://salsa.debian.org">salsa.debian.org</a>. <a href="https://salsa.debian.org/-/profile/notifications" target="_blank" rel="noopener noreferrer" class="mng-notif-link">Manage all notifications</a> · <a href="https://salsa.debian.org/help" target="_blank" rel="noopener noreferrer" class="help-link">Help</a>

<span style="color: transparent; font-size: 0; display: none; overflow: hidden; opacity: 0; width: 0; height: 0; max-width: 0; max-height: 0;">

Notification message regarding https://salsa.debian.org/security-tracker-team/security-tracker/-/compare/6f2cb67e16056f18c9dce7c93e81242ee111237c...c06be90c09401cc6a25e255285b44a6d83067d6c at 1779254388

</span>

</p>

</div>

</body>

</html>