The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимостей

06.11.2018 19:48

Опубликованы новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx - 1.14.1 и 1.15.6, в которых устранены три уязвимости:

  • CVE-2018-16845 - ошибка в модуле ngx_http_mp4_module (не собирается по умолчанию) может привести к краху рабочего процесса или отправке в составе ответа содержимого областей памяти рабочего процесса при обработке специально оформленных файлов mp4;
  • CVE-2018-16843 - DoS-уязвимость в реализации протокола HTTP/2, которая может привести к исчерпанию доступной процессу памяти. Проблема проявляется только при использовании модуля ngx_http_v2_module и указании опции "http2" в блоке "listen";
  • CVE-2018-16844 - DoS-уязвимость в реализации протокола HTTP/2, которая может привести к утилизации доступных ресурсов CPU.

В выпуске 1.15.6 дополнительно для настройки keepalive для исходящих соединений (включения или выключения опции SO_KEEPALIVE для сокетов) добавлены новые директивы:

  • "proxy_socket_keepalive" - конфигурирует поведение "TCP keepalive" для исходящих соединений к проксируемому серверу;
  • "fastcgi_socket_keepalive" - конфигурирует поведение "TCP keepalive" для исходящих соединений к FastCGI-серверу;
  • "grpc_socket_keepalive" - конфигурирует поведение "TCP keepalive" для исходящих соединений к gRPC-серверу;
  • "memcached_socket_keepalive" - конфигурирует поведение "TCP keepalive" для исходящих соединений к серверу memcached;
  • "scgi_socket_keepalive" - конфигурирует поведение "TCP keepalive" для исходящих соединений к SCGI-серверу;
  • "uwsgi_socket_keepalive" - конфигурирует поведение "TCP keepalive" для исходящих соединений к uwsgi-серверу.
  • Исправлена ошибка, из-за которой протокол TLS 1.3 оставался постоянно включен при сборке с OpenSSL 1.1.0 и использовании OpenSSL 1.1.1;
  • В бэкендах gRPC сокращено потребление памяти.



  1. Главная ссылка к новости (http://mailman.nginx.org/piper...)
  2. OpenNews: Релиз njs 0.2.5, интерпретатора JavaScript от NGINX
  3. OpenNews: Выпуск сервера приложений NGINX Unit 1.5 с поддержкой Node.js
  4. OpenNews: Выпуск nginx 1.15.4
  5. OpenNews: Релиз nginx 1.14.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49567-nginx
Ключевые слова: nginx
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 20:19, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Так вот он чем лучше апача...
     
     
  • 2.4, Аноним (4), 20:29, 06/11/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Только лишь в Apache 2.4 было в два раза больше уязвимостей, чем в nginx за всю историю.
    https://httpd.apache.org/security/vulnerabilities_24.html
     
     
     
     
    Часть нити удалена модератором

  • 5.7, Аноним (4), 21:18, 06/11/2018 [ответить]  
  • +/
    > Зочем? У него же нормальный async polling

    И как это поможет критичным к вычислительных ресурсам задачам, таким как TLS и сжатие на многоядерной системе (чуть менее чем все)?

     
  • 3.8, Fyjybv755 (?), 21:22, 06/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >  Только лишь в Apache 2.4 было в два раза больше уязвимостей, чем в nginx за всю историю.

    А если считать только moderate (DoS и pwn), проявляющиеся в дефолтной конфигурации?

     
  • 3.9, _KUL (ok), 00:12, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    История apache гораздо больше истории nginx
     
     
  • 4.15, Аноним (15), 06:57, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ... Поэтому, за всю историю apache уязвимостей было просто дохрена!

    (Где логика в твоих словах? Если ты что-то хотел сказать - ты не договорил.)

     
     
  • 5.19, funny.falcon (?), 08:22, 08/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Логика в том, что нужно мерять не уязвимости за все время жизни, а в среднем за год.
     
     
  • 6.21, Аноним (21), 22:09, 08/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    nginx существует гораздо дольше, чем apache 2.4, а уязвимостей у него было вдвое меньше. Сами догадаетесь, у кого среднее в год будет меньше?

    Только лишь в этом году у Apache было 10 CVE, а у nginx всего 3.

     

  • 1.10, Ivan_83 (ok), 01:30, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    http2 - нинужен, вот и доказательства.
     
     
  • 2.20, пох (?), 21:53, 08/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    эта оверинжиниренная бесполезная хрень ненужно даже если бы в ней не водилась дыра на дыре.

    ну кроме, конечно же, гуглепейсбукотентаклей, продолжающих уничтожать любой интернет, кроме принадлежащего им.

     

  • 1.14, Аноним (14), 03:25, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Они еще живут в мире где есть TCP/IP?

    QUIC наше все!

     
     
  • 2.16, Аноним (15), 06:59, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    для Ъ объясните, что такое QUIC, пожалуйста.

    SCTP не смогло забороть TCP, а этот квик - да?

     
     
  • 3.18, Аноним (14), 09:00, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > что такое QUIC, пожалуйста

    Идите посмотрите будущий стандарт HTTP/3 и где вы там видите TCP?

     
  • 2.17, пох (?), 07:45, 07/11/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    гугль, ты залогиниться забыл!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру