Atualizações do NGINX atenuam as vulnerabilidades HTTP/2 de agosto de 2019
Hoje estamos lançando atualizações para o NGINX Open Source e o NGINX Plus em resposta à recente descoberta de vulnerabilidades em muitas implementações do HTTP/2. Recomendamos fortemente a atualização de todos os sistemas que tenham HTTP/2 habilitado.
Em maio de 2019, pesquisadores da Netflix descobriram uma série de vulnerabilidades de segurança em diversas implementações de servidores HTTP/2. Esses problemas foram reportados de forma responsável a cada um dos fornecedores e mantenedores envolvidos. O NGINX era vulnerável a três vetores de ataque, conforme detalhado nos seguintes CVEs:
- CVE-2019-9511 (Drible de dados)
- CVE-2019-9513 (Loop de recursos)
- CVE-2019-9516 (vazamento de cabeçalhos de comprimento zero)
Corrigimos essas vulnerabilidades e adicionamos outras proteções de segurança HTTP/2 nas seguintes versões do NGINX:
- NGINX 1.16.1 (estável)
- NGINX 1.17.3 (linha principal)
- NGINX Plus R18 P1
"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."