Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимостей

Опубликованы новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx — 1.14.1 и 1.15.6, в которых устранены три уязвимости:

  • CVE-2018–16845 — ошибка в модуле ngx_http_mp4_module (не собирается по умолчанию) может привести к краху рабочего процесса или отправке в составе ответа содержимого областей памяти рабочего процесса при обработке специально оформленных файлов mp4;
  • CVE-2018–16843 — DoS-уявзимость в реализации протокола HTTP/2, которая может привести к исчерпанию доступной процессу памяти. Проблема проявляется только при использовании модуля ngx_http_v2_module и указании опции «http2» в блоке «listen»;
  • CVE-2018–16844 — DoS-уявзимость в реализации протокола HTTP/2, которая может привести к утилизации доступных ресурсов CPU.

В выпуске 1.15.6 дополнительно добавлены новые директивы «proxy_socket_keepalive», «fastcgi_socket_keepalive», «grpc_socket_keepalive», «memcached_socket_keepalive», «scgi_socket_keepalive», и «uwsgi_socket_keepalive» для настройки keepalive для исходящих соединений (включения или выключения опции SO_KEEPALIVE для сокетов). Исправлена ошибка, из-за которой протокол TLS 1.3 оставался постоянно включен при сборке с OpenSSL 1.1.0 и использовании OpenSSL 1.1.1. В бэкендах gRPC сокрашено потребление памяти.

© OpenNet