Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимостей

Опубликованы новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx - 1.14.1 и 1.15.6, в которых устранены три уязвимости:

  • CVE-2018-16845 - ошибка в модуле ngx_http_mp4_module (не собирается по умолчанию) может привести к краху рабочего процесса или отправке в составе ответа содержимого областей памяти рабочего процесса при обработке специально оформленных файлов mp4;
  • CVE-2018-16843 - DoS-уявзимость в реализации протокола HTTP/2, которая может привести к исчерпанию доступной процессу памяти. Проблема проявляется только при использовании модуля ngx_http_v2_module и указании опции "http2" в блоке "listen";
  • CVE-2018-16844 - DoS-уявзимость в реализации протокола HTTP/2, которая может привести к утилизации доступных ресурсов CPU.

В выпуске 1.15.6 дополнительно добавлены новые директивы "proxy_socket_keepalive", "fastcgi_socket_keepalive", "grpc_socket_keepalive", "memcached_socket_keepalive", "scgi_socket_keepalive", и "uwsgi_socket_keepalive" для настройки keepalive для исходящих соединений (включения или выключения опции SO_KEEPALIVE для сокетов). Исправлена ошибка, из-за которой протокол TLS 1.3 оставался постоянно включен при сборке с OpenSSL 1.1.0 и использовании OpenSSL 1.1.1. В бэкендах gRPC сокрашено потребление памяти.

11/06/2018 19:48:12
0

комментарии (0)