Er zijn drie problemen geïdentificeerd in de nginx-webserver (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516) die leidden tot overmatig geheugengebruik bij gebruik van de module ngx_http_v2_module en geïmplementeerd vanuit het HTTP/2-protocol. Het probleem treft versies van 1.9.5 tot 1.17.2. Er zijn oplossingen aangebracht voor nginx 1.16.1 (stabiele branch) en 1.17.3 (mainstream). De problemen werden ontdekt door Jonathan Looney van Netflix.
Release 1.17.3 bevat nog twee reparaties:
- Oplossing: bij gebruik van compressie konden er “zero size buf”-berichten in de logs verschijnen; De bug verscheen in 1.17.2.
- Oplossing: er kon een segmentatiefout optreden in een werkproces bij gebruik van de solver-richtlijn in een SMTP-proxy.
Bron: linux.org.ru