Mercurial > hg > nginx-site
changeset 2272:3fa4584907b8
nginx-1.15.6, nginx-1.14.1
author | Maxim Dounin <mdounin@mdounin.ru> |
---|---|
date | Tue, 06 Nov 2018 17:51:30 +0300 |
parents | 34a1901e663d |
children | 626533759806 |
files | text/en/CHANGES text/en/CHANGES-1.14 text/ru/CHANGES.ru text/ru/CHANGES.ru-1.14 xml/en/security_advisories.xml xml/index.xml xml/versions.xml |
diffstat | 7 files changed, 106 insertions(+), 0 deletions(-) [+] |
line wrap: on
line diff
--- a/text/en/CHANGES Wed Oct 31 20:56:02 2018 +0300 +++ b/text/en/CHANGES Tue Nov 06 17:51:30 2018 +0300 @@ -1,4 +1,24 @@ +Changes with nginx 1.15.6 06 Nov 2018 + + *) Security: when using HTTP/2 a client might cause excessive memory + consumption (CVE-2018-16843) and CPU usage (CVE-2018-16844). + + *) Security: processing of a specially crafted mp4 file with the + ngx_http_mp4_module might result in worker process memory disclosure + (CVE-2018-16845). + + *) Feature: the "proxy_socket_keepalive", "fastcgi_socket_keepalive", + "grpc_socket_keepalive", "memcached_socket_keepalive", + "scgi_socket_keepalive", and "uwsgi_socket_keepalive" directives. + + *) Bugfix: if nginx was built with OpenSSL 1.1.0 and used with OpenSSL + 1.1.1, the TLS 1.3 protocol was always enabled. + + *) Bugfix: working with gRPC backends might result in excessive memory + consumption. + + Changes with nginx 1.15.5 02 Oct 2018 *) Bugfix: a segmentation fault might occur in a worker process when
--- a/text/en/CHANGES-1.14 Wed Oct 31 20:56:02 2018 +0300 +++ b/text/en/CHANGES-1.14 Tue Nov 06 17:51:30 2018 +0300 @@ -1,4 +1,17 @@ +Changes with nginx 1.14.1 06 Nov 2018 + + *) Security: when using HTTP/2 a client might cause excessive memory + consumption (CVE-2018-16843) and CPU usage (CVE-2018-16844). + + *) Security: processing of a specially crafted mp4 file with the + ngx_http_mp4_module might result in worker process memory disclosure + (CVE-2018-16845). + + *) Bugfix: working with gRPC backends might result in excessive memory + consumption. + + Changes with nginx 1.14.0 17 Apr 2018 *) 1.14.x stable branch.
--- a/text/ru/CHANGES.ru Wed Oct 31 20:56:02 2018 +0300 +++ b/text/ru/CHANGES.ru Tue Nov 06 17:51:30 2018 +0300 @@ -1,4 +1,26 @@ +Изменения в nginx 1.15.6 06.11.2018 + + *) Безопасность: при использовании HTTP/2 клиент мог вызвать чрезмерное + потреблению памяти (CVE-2018-16843) и ресурсов процессора + (CVE-2018-16844). + + *) Безопасность: при обработке специально созданного mp4-файла модулем + ngx_http_mp4_module содержимое памяти рабочего процесса могло быть + отправлено клиенту (CVE-2018-16845). + + *) Добавление: директивы proxy_socket_keepalive, + fastcgi_socket_keepalive, grpc_socket_keepalive, + memcached_socket_keepalive, scgi_socket_keepalive и + uwsgi_socket_keepalive. + + *) Исправление: если nginx был собран с OpenSSL 1.1.0, а использовался с + OpenSSL 1.1.1, протокол TLS 1.3 всегда был разрешён. + + *) Исправление: при работе с gRPC-бэкендами могло расходоваться большое + количество памяти. + + Изменения в nginx 1.15.5 02.10.2018 *) Исправление: при использовании OpenSSL 1.1.0h и новее в рабочем
--- a/text/ru/CHANGES.ru-1.14 Wed Oct 31 20:56:02 2018 +0300 +++ b/text/ru/CHANGES.ru-1.14 Tue Nov 06 17:51:30 2018 +0300 @@ -1,4 +1,18 @@ +Изменения в nginx 1.14.1 06.11.2018 + + *) Безопасность: при использовании HTTP/2 клиент мог вызвать чрезмерное + потреблению памяти (CVE-2018-16843) и ресурсов процессора + (CVE-2018-16844). + + *) Безопасность: при обработке специально созданного mp4-файла модулем + ngx_http_mp4_module содержимое памяти рабочего процесса могло быть + отправлено клиенту (CVE-2018-16845). + + *) Исправление: при работе с gRPC-бэкендами могло расходоваться большое + количество памяти. + + Изменения в nginx 1.14.0 17.04.2018 *) Стабильная ветка 1.14.x.
--- a/xml/en/security_advisories.xml Wed Oct 31 20:56:02 2018 +0300 +++ b/xml/en/security_advisories.xml Tue Nov 06 17:51:30 2018 +0300 @@ -24,6 +24,28 @@ <security> +<item name="Excessive memory usage in HTTP/2" + severity="low" + cve="2018-16843" + good="1.15.6+, 1.14.1+" + vulnerable="1.9.5-1.15.5"> +</item> + +<item name="Excessive CPU usage in HTTP/2" + severity="low" + cve="2018-16844" + good="1.15.6+, 1.14.1+" + vulnerable="1.9.5-1.15.5"> +</item> + +<item name="Memory disclosure in the ngx_http_mp4_module" + severity="medium" + cve="2018-16845" + good="1.15.6+, 1.14.1+" + vulnerable="1.1.3-1.15.5, 1.0.7-1.0.15"> +<patch name="patch.2018.mp4.txt" /> +</item> + <item name="Integer overflow in the range filter" severity="medium" advisory="http://mailman.nginx.org/pipermail/nginx-announce/2017/000200.html"
--- a/xml/index.xml Wed Oct 31 20:56:02 2018 +0300 +++ b/xml/index.xml Tue Nov 06 17:51:30 2018 +0300 @@ -7,6 +7,19 @@ <news name="nginx news" link="/" lang="en"> +<event date="2018-11-06"> +<para> +<link doc="en/download.xml">nginx-1.14.1</link> +stable and +<link doc="en/download.xml">nginx-1.15.6</link> +mainline versions have been released, +with fixes for +<link doc="en/security_advisories.xml">vulnerabilities in HTTP/2</link> +(CVE-2018-16843, CVE-2018-16844) and +<link doc="en/security_advisories.xml">the MP4 module</link> (CVE-2018-16845). +</para> +</event> + <event date="2018-10-30"> <para> <link doc="en/docs/njs/index.xml">njs-0.2.5</link>
--- a/xml/versions.xml Wed Oct 31 20:56:02 2018 +0300 +++ b/xml/versions.xml Tue Nov 06 17:51:30 2018 +0300 @@ -9,6 +9,7 @@ <download tag="mainline" changes=""> +<item ver="1.15.6" /> <item ver="1.15.5" /> <item ver="1.15.4" /> <item ver="1.15.3" /> @@ -21,6 +22,7 @@ <download tag="stable" changes="1.14"> +<item ver="1.14.1" /> <item ver="1.14.0" /> <item ver="1.13.12" /> <item ver="1.13.11" />