Trois problèmes ont été identifiés sur le serveur Web nginx (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516) qui ont entraîné une consommation excessive de mémoire lors de l'utilisation du module. ngx_http_v2_module et implémenté à partir du protocole HTTP/2. Le problème affecte les versions de 1.9.5 à 1.17.2. Des correctifs ont été apportés à nginx 1.16.1 (branche stable) et 1.17.3 (mainstream). Les problèmes ont été découverts par Jonathan Looney de Netflix.
La version 1.17.3 inclut deux correctifs supplémentaires :
- Correctif : lors de l'utilisation de la compression, des messages « zero size buf » pouvaient apparaître dans les journaux ; Le bug est apparu dans la version 1.17.2.
- Correctif : une erreur de segmentation pouvait survenir dans un processus de travail lors de l'utilisation de la directive de résolution dans un proxy SMTP.
Source: linux.org.ru