こんにちは、LinuCエバンジェリストこと、鯨井貴博@opensourcetechです。
nginx mainline 1.17.3 & stable 1.16.1がリリースされました。
Changelogs
まず、mainline 1.17.3の更新内容。
Changes with nginx 1.17.3 13 Aug 2019
*) Security: when using HTTP/2 a client might cause excessive memory consumption and CPU usage (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516).
*) Bugfix: "zero size buf" alerts might appear in logs when using gzipping; the bug had appeared in 1.17.2.
*) Bugfix: a segmentation fault might occur in a worker process if the "resolver" directive was used in SMTP proxy.
続いて、stable 1.16.1の更新内容。
https://nginx.org/en/CHANGES-1.16
*) Security: when using HTTP/2 a client might cause excessive memory consumption and CPU usage (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516).
Changelogs(日本語訳)
それぞれの日本語訳です。
mainline 1.17.3
Changes with nginx 1.17.3 13 Aug 2019
*)セキュリティ:HTTP/2を使用すると、クライアントが過剰なメモリ消費とCPU使用率を引き起こす可能性がありました(CVE-2019-9511、CVE-2019-9513、CVE-2019-9516)。
*)バグ修正:gzippingを使用すると、ログに「zero size buf」アラートが表示される場合がありました。 バグは1.17.2に現れていました。
*)バグ修正:SMTPプロキシで「resolver」ディレクティブが使用された場合、ワーカープロセスでセグメンテーションエラーが発生する可能性がありました。
stable 1.16.1
Changes with nginx 1.16.1 13 Aug 2019
*)セキュリティ:HTTP/2を使用すると、クライアントが過剰なメモリ消費とCPU使用率を引き起こす可能性がありました(CVE-2019-9511、CVE-2019-9513、CVE-2019-9516)。
各CVE・対応方法について
各CVE(HTTP/2関連)については、以下で参照できます。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9511
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-9513
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9516
また、対応方法としてはソフトウェアの更新が一番ですので、
利用されている方は、ぜひUpdateを!!!