Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие Dos-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании.

Атаки с использованием этих уязвимостей проходят по одному сценарию: злоумышленник отправляет на сервер запросы определённых видов, но не принимает ответы, при этом сессия остаётся открытой. Таким образом, открывается большое количество подключений, которые постепенно потребляют пул системных ресурсов и в результате это может приводить к отказу. При этом данные уязвимости не приводят к утечке данных и не дают возможности злоумышленнику каким-то образом их изменить.

Уязвимости затрагивают проекты таких гигантов как Apple, Amazon, Apache, Microsoft, Facebook, Ubuntu и других. Некоторые компании уже ликвидировали уязвимости и даже зафиксировали несколько безуспешных внешних атак.

Мы в своей компании уже начали активно обновлять Nginx на серверах наших клиентов. Скачать новую версию Nginx с обновлением можно по ссылке.