博客 | NGINX
NGINX 更新缓解了 2019 年 8 月的 HTTP/2 漏洞
今天,我们发布了 NGINX Open Source 和 NGINX Plus 的更新,以应对最近在许多 HTTP/2 实现中发现的漏洞。 我们强烈建议升级所有启用了 HTTP/2 的系统。
2019 年 5 月, Netflix 的研究人员在多个 HTTP/2 服务器实现中发现了许多安全漏洞。 我们已向每个相关的供应商和维护人员负责任地报告了这些问题。 NGINX 容易受到三种攻击媒介的攻击,详情见以下 CVE:
- CVE-2019-9511 (数据泄露)
- CVE-2019-9513 (资源循环)
- CVE-2019-9516 (零长度标头泄漏)
我们在以下 NGINX 版本中解决了这些漏洞,并添加了其他 HTTP/2 安全保障措施:
- NGINX 1.16.1(稳定版)
- NGINX 1.17.3(主线)
- NGINX Plus R18 P1
“这篇博文可能引用了不再可用和/或不再支持的产品。 有关 F5 NGINX 产品和解决方案的最新信息,请探索我们的NGINX 产品系列。 NGINX 现在是 F5 的一部分。 所有之前的 NGINX.com 链接都将重定向至 F5.com 上的类似 NGINX 内容。”