Вышли версии nginx 1.15.6 и 1.14.1, в которых исправлены три уязвимости:
- CVE-2018-16843 и CVE-2018-16844 — чрезмерное потребление памяти и CPU в модуле ngx_http_v2_module, реализующем поддержку протокола HTTP/2.
- CVE-2018-16845 — отправка клиенту содержимого памяти рабочего процесса при использовании модуля ngx_http_mp4_module
Для эксплуатации первых двух уязвимостей достаточно наличия параметра http2 директивы listen. Эксплуатация CVE-2018-16845 требует директиву mp4 и специально подготовленного mp4-файла.
Также в nginx 1.15.6 исправлен баг, из-за которого nginx, собранный с OpenSSL 1.1.0, но работающий с OpenSSL 1.1.1, всегда разрешал использование протокола TLS 1.3. И добавлен ряд директив, определяющих поведение TCP keepalive (использование параметра сокета SO_KEEPALIVE) в модулях http бэкендов proxy, fastcgi, grpc, memcached/ scgi? uwsgi
Патч, исправляющий CVE-2018-16845
>>> Подробности
