Les mises à jour de NGINX atténuent les vulnérabilités HTTP/2 d'août 2019
Aujourd'hui, nous publions des mises à jour de NGINX Open Source et NGINX Plus en réponse à la récente découverte de vulnérabilités dans de nombreuses implémentations de HTTP/2. Nous vous recommandons fortement de mettre à niveau tous les systèmes sur lesquels HTTP/2 est activé.
En mai 2019, les chercheurs de Netflix ont découvert un certain nombre de vulnérabilités de sécurité dans plusieurs implémentations de serveurs HTTP/2. Ces problèmes ont été signalés de manière responsable à chacun des fournisseurs et mainteneurs concernés. NGINX était vulnérable à trois vecteurs d'attaque, comme détaillé dans les CVE suivants :
- CVE-2019-9511 (données en gouttes)
- CVE-2019-9513 (boucle de ressources)
- CVE-2019-9516 (fuite d'en-têtes de longueur nulle)
Nous avons corrigé ces vulnérabilités et ajouté d'autres mesures de sécurité HTTP/2 dans les versions NGINX suivantes :
- NGINX 1.16.1 (stable)
- NGINX 1.17.3 (ligne principale)
- NGINX Plus R18 P1
« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."