ASA-2019-00519 – nginx: Uso excessivo de CPU em HTTP/2 com mudança de prioridade


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00519

Identificador(es)

ASA-2019-00519, CVE-2019-9513

Título

Uso excessivo de CPU em HTTP/2 com mudança de prioridade

Fabricante(s)

NGINX, Inc

Produto(s)

nginx

Versão(ões) afetada(s)

nginx versões desde 1.9.5 até e incluindo 1.17.2

Versão(ões) corrigida(s)

nginx versão 1.17.3
nginx versão 1.16.1

Prova de conceito

Desconhecido

Descrição

Várias falhas de segurança foram identificadas na implementação do HTTP/2 do nginx, o que pode causar consumo excessivo de memória e uso da CPU (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516).

Os problemas afetam o nginx compilado com ngx_http_v2_module (não compilado por padrão) se a opção “http2” da diretiva “listen” for usada em um arquivo de configuração.

Detalhes técnicos

Um usuário pode criar vários streams de requisição e modificar continuamente a prioridade dos streams de tal maneira que cause substancial rotatividade na árvore de prioridades. Isso pode consumir CPU de forma excessiva, potencialmente levando a uma negação de serviço.

Créditos

Jonathan Looney (Netflix)

Referência(s)

nginx security advisories
https://nginx.org/en/security_advisories.html

[nginx-announce] nginx security advisory (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516)
https://mailman.nginx.org/pipermail/nginx-announce/2019/000249.html

HTTP/2 Denial of Service Advisory
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.md

NGINX Updates Mitigate the August 2019 HTTP/2 Vulnerabilities
https://www.nginx.com/blog/nginx-updates-mitigate-august-2019-http-2-vulnerabilities/

HTTP/2: limited number of PRIORITY frames.
https://hg.nginx.org/nginx/rev/45415228990b

Bug 1735741 (CVE-2019-9513) – CVE-2019-9513 HTTP/2: flood using PRIORITY frames resulting in excessive resource consumption
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-9513

CVE-2019-9513
https://access.redhat.com/security/cve/CVE-2019-9513

CVE-2019-9513
https://security-tracker.debian.org/tracker/CVE-2019-9513

CVE-2019-9513 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/CVE-2019-9513.html

CVE-2019-9513 | SUSE
https://www.suse.com/security/cve/CVE-2019-9513

CVE-2019-9513
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9513

CVE-2019-9513
https://nvd.nist.gov/vuln/detail/CVE-2019-9513

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 25 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.