For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00520
Identificador(es)
ASA-2019-00520, CVE-2019-9516
Título
Uso excessivo de memória no HTTP/2 com cabeçalhos de comprimento zero
Fabricante(s)
NGINX, Inc
Produto(s)
nginx
Versão(ões) afetada(s)
nginx versões desde 1.9.5 até e incluindo 1.17.2
Versão(ões) corrigida(s)
nginx versão 1.17.3
nginx versão 1.16.1
Prova de conceito
Desconhecido
Descrição
Várias falhas de segurança foram identificadas na implementação HTTP/2 do nginx, o que podem causar consumo excessivo de memória e uso da CPU (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516).
Os problemas afetam o nginx compilado com ngx_http_v2_module (não compilado por padrão) se a opção “http2” da diretiva “listen” for usada em um arquivo de configuração.
Detalhes técnicos
Um usuário pode enviar um stream contendo cabeçalhos de nome e tamanho zero (0-length), opcionalmente codificado por Huffman em cabeçalhos de 1 byte ou mais. Algumas implementações alocam memória para esses cabeçalhos e mantêm a alocação ativa até que a sessão seja interrompida. Isso pode consumir memória de forma excessiva, potencialmente levando a uma negação de serviço.
Créditos
Jonathan Looney (Netflix)
Referência(s)
nginx security advisories
https://nginx.org/en/security_advisories.html
[nginx-announce] nginx security advisory (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516)
https://mailman.nginx.org/pipermail/nginx-announce/2019/000249.html
HTTP/2 Denial of Service Advisory
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.md
Bug 1741864 (CVE-2019-9516) – CVE-2019-9516 HTTP/2: 0-length headers leads to denial of service [NEEDINFO]
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-9516
NGINX Updates Mitigate the August 2019 HTTP/2 Vulnerabilities
https://www.nginx.com/blog/nginx-updates-mitigate-august-2019-http-2-vulnerabilities/
HTTP/2: reject zero length headers with PROTOCOL_ERROR.
https://hg.nginx.org/nginx/rev/4f4b83f00cf1
https://access.redhat.com/security/cve/CVE-2019-9516
CVE-2019-9516
https://security-tracker.debian.org/tracker/CVE-2019-9516
CVE-2019-9516 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/CVE-2019-9516.html
CVE-2019-9516 | SUSE
https://www.suse.com/security/cve/CVE-2019-9516
CVE-2019-9516
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9516
CVE-2019-9516
https://nvd.nist.gov/vuln/detail/CVE-2019-9516
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 25 agosto 2019