Im Webserver nginx wurden drei Probleme (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516) identifiziert, die zu einem übermäßigen Speicherverbrauch bei Verwendung des Moduls ngx_http_v2_module und im Zusammenhang mit dem HTTP/2-Protokoll stehen. Betroffen sind die Versionen von 1.9.5 bis 1.17.2. Die Korrekturen wurden in nginx 1.16.1 (stabile Reihe) und 1.17.3 (Hauptreihe) vorgenommen. Die Probleme wurden von Jonathan Looney von Netflix entdeckt.
Im Release 1.17.3 wurden außerdem zwei weitere Korrekturen vorgenommen:
- Korrektur: Bei Verwendung von Komprimierung konnten in den Logs Meldungen über "zero size buf" erscheinen; dieser Fehler trat in 1.17.2 auf.
- Korrektur: Bei der Verwendung der Direktive resolver im SMTP-ProxyServer konnte es zu einem Segmentation Fault im Arbeitsablauf kommen.
Quelle: linux.org.ru
