В веб-сервере nginx выявлено три проблемы (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516), приводившие к излишнему потреблению памяти при использовании модуля ngx_http_v2_module и реализовываемого им протокола HTTP/2. Проблеме подвержены версии с 1.9.5 по 1.17.2. Исправления внесены в nginx 1.16.1 (стабильная ветка) и 1.17.3 (основная ветка). Проблемы были обнаружены Jonathan Looney из Netflix.
В релиз 1.17.3 вошли ещё два исправления:
- Исправление: при использовании сжатия в логах могли появляться сообщения «zero size buf»; ошибка появилась в 1.17.2.
- Исправление: при использовании директивы resolver в SMTP прокси-сервере в рабочем процессе мог произойти segmentation fault.
>>> Подробности