NGINX-Updates mildern die HTTP/2-Sicherheitslücken vom August 2019
Als Reaktion auf die jüngste Entdeckung von Schwachstellen in vielen Implementierungen von HTTP/2 veröffentlichen wir heute Updates für NGINX Open Source und NGINX Plus. Wir empfehlen dringend, alle Systeme zu aktualisieren, auf denen HTTP/2 aktiviert ist.
Im Mai 2019 entdeckten Forscher bei Netflix eine Reihe von Sicherheitslücken in mehreren HTTP/2-Serverimplementierungen. Diese wurden den jeweiligen Anbietern und Betreuern verantwortungsvoll gemeldet. NGINX war anfällig für drei Angriffsvektoren, wie in den folgenden CVEs beschrieben:
- CVE-2019-9511 (Daten-Dribbling)
- CVE-2019-9513 (Ressourcenschleife)
- CVE-2019-9516 (Leck mit Zero-Length-Headern)
Wir haben diese Schwachstellen behoben und weitere HTTP/2-Sicherheitsvorkehrungen in den folgenden NGINX-Versionen hinzugefügt:
- NGINX 1.16.1 (stabil)
- NGINX 1.17.3 (Hauptlinie)
- NGINX Plus R18 P1
„Dieser Blogbeitrag kann auf Produkte verweisen, die nicht mehr verfügbar und/oder nicht mehr unterstützt werden. Die aktuellsten Informationen zu verfügbaren F5 NGINX-Produkten und -Lösungen finden Sie in unserer NGINX-Produktfamilie . NGINX ist jetzt Teil von F5. Alle vorherigen NGINX.com-Links werden auf ähnliche NGINX-Inhalte auf F5.com umgeleitet."