search for: ssl_session_ticket

...n named-based virtual hosts in unrelated contexts, allowing to bypass client certificate authentication in some configurations (CVE-2025-23419). The problem affects nginx 1.11.4 and newer built with OpenSSL if the TLSv1.3 protocol and session resumption are enabled either with ssl_session_cache or ssl_session_tickets. The problem is fixed in 1.26.3 and 1.27.4.

...контексте другого виртуального сервера позволяло в некоторых конфигурациях обойти проверку клиентских сертификатов (CVE-2025-23419). Проблеме подвержен nginx 1.11.4 и новее, если он собран с OpenSSL и разрешены протокол TLSv1.3 и повторное использование SSL-сессий при помощи ssl_session_cache или ssl_session_tickets. Проблема исправлена в nginx 1.26.3, 1.27.4.