ASA-2019-00520 – nginx: Uso excessivo de memória no HTTP/2 com cabeçalhos de comprimento zero

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00520

Identificador(es)

ASA-2019-00520, CVE-2019-9516

Título

Uso excessivo de memória no HTTP/2 com cabeçalhos de comprimento zero

Fabricante(s)

NGINX, Inc

Produto(s)

nginx

Versão(ões) afetada(s)

nginx versões desde 1.9.5 até e incluindo 1.17.2

Versão(ões) corrigida(s)

nginx versão 1.17.3
nginx versão 1.16.1

Prova de conceito

Desconhecido

Descrição

Várias falhas de segurança foram identificadas na implementação HTTP/2 do nginx, o que podem causar consumo excessivo de memória e uso da CPU (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516).

Os problemas afetam o nginx compilado com ngx_http_v2_module (não compilado por padrão) se a opção “http2” da diretiva “listen” for usada em um arquivo de configuração.

Detalhes técnicos

Um usuário pode enviar um stream contendo cabeçalhos de nome e tamanho zero (0-length), opcionalmente codificado por Huffman em cabeçalhos de 1 byte ou mais. Algumas implementações alocam memória para esses cabeçalhos e mantêm a alocação ativa até que a sessão seja interrompida. Isso pode consumir memória de forma excessiva, potencialmente levando a uma negação de serviço.

Créditos

Jonathan Looney (Netflix)

Referência(s)

nginx security advisories
https://nginx.org/en/security_advisories.html

[nginx-announce] nginx security advisory (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516)
https://mailman.nginx.org/pipermail/nginx-announce/2019/000249.html

HTTP/2 Denial of Service Advisory
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.md

Bug 1741864 (CVE-2019-9516) – CVE-2019-9516 HTTP/2: 0-length headers leads to denial of service [NEEDINFO]
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-9516

NGINX Updates Mitigate the August 2019 HTTP/2 Vulnerabilities
https://www.nginx.com/blog/nginx-updates-mitigate-august-2019-http-2-vulnerabilities/

HTTP/2: reject zero length headers with PROTOCOL_ERROR.
https://hg.nginx.org/nginx/rev/4f4b83f00cf1

CVE-2019-9516
https://access.redhat.com/security/cve/CVE-2019-9516

CVE-2019-9516
https://security-tracker.debian.org/tracker/CVE-2019-9516

CVE-2019-9516 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/CVE-2019-9516.html

CVE-2019-9516 | SUSE
https://www.suse.com/security/cve/CVE-2019-9516

CVE-2019-9516
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9516

CVE-2019-9516
https://nvd.nist.gov/vuln/detail/CVE-2019-9516

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 25 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.