Foram identificados três problemas no servidor web nginx (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516) que levavam ao consumo excessivo de memória ao usar o módulo ngx_http_v2_module e implementado a partir do protocolo HTTP/2. O problema afeta as versões 1.9.5 a 1.17.2. Correções foram feitas no nginx 1.16.1 (ramo estável) e 1.17.3 (mainstream). Os problemas foram descobertos por Jonathan Looney, da Netflix.
A versão 1.17.3 inclui mais duas correções:
- Correção: ao usar compactação, mensagens “tamanho zero buf” poderiam aparecer nos logs; O bug apareceu em 1.17.2.
- Correção: uma falha de segmentação poderia ocorrer em um processo de trabalho ao usar a diretiva resolvedor em um proxy SMTP.
Fonte: linux.org.ru