LINUX.ORG.RU

Уязвимость


40

0

Всего сообщений: 155

См. также:

 , , , , , , , ,

Nginx 1.15.6 и 1.14.1 с исправлениями уязвимостей

Группа Безопасность

Вышли версии nginx 1.15.6 и 1.14.1, в которых исправлены три уязвимости:

  • CVE-2018-16843 и CVE-2018-16844 — чрезмерное потребление памяти и CPU в модуле ngx_http_v2_module, реализующем поддержку протокола HTTP/2.
  • CVE-2018-16845 — отправка клиенту содержимого памяти рабочего процесса при использовании модуля ngx_http_mp4_module

Для эксплуатации первых двух уязвимостей достаточно наличия параметра http2 директивы listen. Эксплуатация CVE-2018-16845 требует директиву mp4 и специально подготовленного mp4-файла.

Также в nginx 1.15.6 исправлен баг, из-за которого nginx, собранный с OpenSSL 1.1.0, но работающий с OpenSSL 1.1.1, всегда разрешал использование протокола TLS 1.3. И добавлен ряд директив, определяющих поведение TCP keepalive (использование параметра сокета SO_KEEPALIVE) в модулях http бэкендов proxy, fastcgi, grpc, memcached/ scgi? uwsgi

Патч, исправляющий CVE-2018-16845

>>> Подробности

 , ,

MrClon ()

Еще новости

Октябрь 2018

Сентябрь 2018

Август 2018

Июнь 2018

Май 2018

Февраль 2018

Январь 2018

2017

2016

Опросы

Форум

Ноябрь 2018

Октябрь 2018

Сентябрь 2018

Июнь 2018

Май 2018

Апрель 2018

Март 2018

  • General bug bounty (29 комментариев)

Февраль 2018

2017

2016