Uma vulnerabilidade de injeção de comando no Nokogiri v1.10.3 e versões anteriores permite que comandos sejam executados em um subprocesso pelo método Kernel.open do Ruby. Os processos são vulneráveis somente se o método não documentado Nokogiri::CSS::Tokenizer#load_file está sendo passado entrada de dados do usuário não confiável. Esta vulnerabilidade aparece no código gerado pelas versões da gem Rexical v1.0.6 e anteriores. O Rexical é usado pelo Nokogiri para gerar código léxico de scanner para realizar parsing consultas CSS.
Mês: agosto 2019
ASA-2019-00522 – Go: Múltiplas questões durante parsing em URL.Parse
url.Parse aceita URLs com hosts malformados, de modo que o campo Host pode conter sufixos arbitrários que não aparecem em Hostname() nem em Port(), permitindo que a autorização seja ignorada em determinadas aplicações.
ASA-2019-00521 – Go, Kubernetes: Vulnerabilidades de negação de serviço na implementação do HTTP/2
Servidores net/http e golang.org/x/net/http2 que aceitam conexões diretas de clientes não confiáveis podem ser remotamente levados a alocar uma quantidade ilimitada de memória, até que a execução do programa seja interrompida.
ASA-2019-00520 – nginx: Uso excessivo de memória no HTTP/2 com cabeçalhos de comprimento zero
Várias falhas de segurança foram identificadas na implementação HTTP/2 do nginx, o que podem causar consumo excessivo de memória e uso da CPU (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516). Os problemas afetam o nginx compilado com ngx_http_v2_module (não compilado por padrão) se a opção “http2” da diretiva “listen” for usada em um arquivo de configuração.
ASA-2019-00519 – nginx: Uso excessivo de CPU em HTTP/2 com mudança de prioridade
Várias falhas de segurança foram identificadas na implementação do HTTP/2 do nginx, o que pode causar consumo excessivo de memória e uso da CPU (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516). Os problemas afetam o nginx compilado com o módulo ngx_http_v2_module (não compilado por padrão) se a opção “http2” da diretiva “listen” for usada em um arquivo de configuração.