今天,我们发布了 NGINX Open Source 和 NGINX Plus 的更新,以响应最近在许多 HTTP/2 实现中发现的漏洞。我们强烈建议升级所有启用了 HTTP/2 的系统。
2019 年 5 月,Netflix 的研究人员在多个 HTTP/2 服务器实现中发现了许多安全漏洞。这些都被负责任地报告给每个相关的供应商和维护人员。 NGINX 容易受到三种攻击方式的攻击,如以下 CVE 中详述:
- CVE-2019-9511(数据传输)
- CVE-2019-9513(资源循环)
- CVE-2019-9516(零长度标头泄漏)
我们已在以下 NGINX 版本中解决了这些漏洞,并添加了其他 HTTP/2 安全保护措施:
- NGINX 1.16.1(稳定)
- NGINX 1.17.3(主线)
- NGINX Plus R18 P1
发表回复