В nginx исправлены опасные уязвимости

Разработчики nginx выпустили обновления безопасности, исправляющие в web-сервере несколько опасных DoS-уязвимостей.

Nginx представляет собой HTTP- и обратный прокси-сервер, почтовый прокси-сервер и TCP/UDP- прокси-сервер, использующийся 25,28% наиболее загруженных сайтов (по состоянию на октябрь нынешнего года).

Разработчики выпустили версии 1.15.6 и 1.14.1 с целью исправить уязвимости в реализации HTTP/2, способные вызвать отказ в обслуживании и присутствующие в версиях от 1.9.5 до 1.15.5. Речь идет об уязвимостях CVE-2018-16843 и CVE-2018-16844, способных вызвать чрезмерное потребление памяти и ресурсов процессора соответственно. Проблемы затрагивают nginx, компилированные с модулем ngx_http_v2_module (не является модулем по умолчанию), если в конфигурационном файле используется опция «http2» в директиве «listen».

С выходом обновлений также была исправлена уязвимость в модуле ngx_http_mp4_module (CVE-2018-16845), позволявшая злоумышленнику вызывать аварийное завершение рабочих процессов или утечку памяти, отправив модулю для обработки особым образом сформированный файл MP4. Проблема затрагивает серверы, сконфигурированные с ngx_http_mp4_module (не является модулем по умолчанию), если в конфигурационном файле используется директива .mp4.