ASA-2019-00518 – nginx: Uso excessivo de CPU em HTTP/2 com pequenos window updates


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00518

Identificador(es)

ASA-2019-00518, CVE-2019-9511

Título

Uso excessivo de CPU em HTTP/2 com pequenos window updates

Fabricante(s)

NGINX, Inc

Produto(s)

nginx

Versão(ões) afetada(s)

nginx versões desde 1.9.5 até e incluindo 1.17.2

Versão(ões) corrigida(s)

nginx versão 1.17.3
nginx versão 1.16.1

Prova de conceito

Desconhecido

Descrição

Vários problemas de segurança foram identificados na implementação do módulo HTTP/2 do nginx, que podem causar consumo excessivo de memória e uso da CPU (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516).

As falhas afetam o nginx compilado com ngx_http_v2_module (não compilado por padrão) se a opção “http2” da diretiva “listen” for usada em um arquivo de configuração.

Detalhes técnicos

O atacante solicita uma grande quantidade de dados de um recurso específico em vários streams. Eles manipulam o window size e a prioridade do stream para forçar o servidor a enfileirar os dados em blocos de 1 byte. Dependendo da eficiência com que esses dados são enfileirados, isso pode consumir de forma excessiva CPU, memória ou ambos, possivelmente levando a uma negação de serviço.

Créditos

Jonathan Looney (Netflix)

Referência(s)

nginx security advisories
https://nginx.org/en/security_advisories.html

[nginx-announce] nginx security advisory (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516)
https://mailman.nginx.org/pipermail/nginx-announce/2019/000249.html

HTTP/2 Denial of Service Advisory
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.md

Bug 1741860 (CVE-2019-9511) – CVE-2019-9511 HTTP/2: large amount of data request leads to denial of service
https://bugzilla.redhat.com/show_bug.cgi?id=1741860

HTTP/2: limited number of DATA frames.
https://hg.nginx.org/nginx/rev/99b6733876c4

NGINX Updates Mitigate the August 2019 HTTP/2 Vulnerabilities
https://www.nginx.com/blog/nginx-updates-mitigate-august-2019-http-2-vulnerabilities/

CVE-2019-9511
https://access.redhat.com/security/cve/CVE-2019-9511

CVE-2019-9511
https://security-tracker.debian.org/tracker/CVE-2019-9511

CVE-2019-9511 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/CVE-2019-9511.html

CVE-2019-9511 | SUSE
https://www.suse.com/security/cve/CVE-2019-9511

CVE-2019-9511
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9511

CVE-2019-9511
https://nvd.nist.gov/vuln/detail/CVE-2019-9511

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 25 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.