nginx-1.14.1 稳定版和nginx-1.15.6主线版本已经发布,修复了HTTP/2(CVE-2018-16843,CVE-2018-16844)和MP4模块(CVE-2018-16845)中的漏洞。
nginx 1.14.1更改
*)安全性:使用HTTP/2时,客户端可能会导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)。
*)安全性:使用ngx_http_mp4_module处理特制的mp4文件可能会导致工作进程内存泄露CVE-2018-16845)。
*)修正:使用gRPC后端可能会导致过多的内存消耗。
nginx 1.15.6的变化
nginx 1.15.6的变化
*)安全性:使用HTTP/2时,客户端可能会导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)。
*)安全性:使用ngx_http_mp4_module处理特制的mp4文件可能会导致工作进程内存泄露(CVE-2018-16845)。
*)功能:“proxy_socket_keepalive”,“fastcgi_socket_keepalive”,“grpc_socket_keepalive”,“memcached_socket_keepalive”,“scgi_socket_keepalive”和“uwsgi_socket_keepalive”指令。
*)修正:如果nginx是使用OpenSSL 1.1.0构建的并与OpenSSL1.1.1一起使用,则始终启用TLS 1.3协议。
*)修正:使用gRPC后端可能会导致过多的内存消耗。