Опубликованы новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx — 1.14.1 и 1.15.6, в которых устранены три уязвимости:

• CVE-2018-16845 — ошибка в модуле ngx_http_mp4_module (не собирается по умолчанию) может привести к краху рабочего процесса или отправке в составе ответа содержимого областей памяти рабочего процесса при обработке специально оформленных файлов mp4;
• CVE-2018-16843 — DoS-уявзимость в реализации протокола HTTP/2, которая может привести к исчерпанию доступной процессу памяти. Проблема проявляется только при использовании модуля ngx_http_v2_module и указании опции «http2» в блоке «listen»;
• CVE-2018-16844 — DoS-уявзимость в реализации протокола HTTP/2, которая может привести к утилизации доступных ресурсов CPU.

В выпуске 1.15.6 дополнительно добавлены новые директивы «proxy_socket_keepalive«, «fastcgi_socket_keepalive»,
«grpc_socket_keepalive», «memcached_socket_keepalive»,
«scgi_socket_keepalive», и «uwsgi_socket_keepalive» для настройки keepalive для исходящих соединений (включения или выключения опции SO_KEEPALIVE для сокетов). Исправлена ошибка, из-за которой протокол TLS 1.3 оставался постоянно включен при сборке с
OpenSSL 1.1.0 и использовании OpenSSL 1.1.1. В бэкендах gRPC сокрашено потребление памяти.