このnghttp2の更新では、次の問題を修正します:

キャッシュサイドチャネル攻撃の軽減:

CVE-2020-11080: HTTP/2 の大きな Settings フレームの DoS (bsc#1181358)。

CVE-2019-9513: サービス拒否につながる可能性のあるリソースループに対して脆弱なHTTP/2実装を修正しました(bsc#1146184)。

CVE-2019-9511: ウィンドウサイズの操作やストリーム優先度の操作に対して脆弱であり、サービス拒否を引き起こす可能性のあるHTTP/2実装を修正しました(bsc#1146182)。

CVE-2018-1000168: ALTSVC フレームのクライアント側サービス拒否を修正しました (bsc#1088639)。

CVE-2016-1544: 無制限の着信 HTTP ヘッダーフィールドによるメモリ不足を修正しました (bsc#966514)。

バグ修正と拡張機能:

パッケージはライセンスファイルを %doc としてマークできません (bsc#1082318)

libnghttp2_asio1 の説明の誤字 (bsc#962914)

specファイルの誤りを修正しました(bsc#1125689)

boost 1.70.0でのビルドの問題を修正しました(bsc#1134616)

GCC 6 でビルドの問題を修正しました (bsc#964140)

機能: W＆Sモジュールを追加します(FATE#326776、bsc#1112438)

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenable では、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

検出

SUSE SLES12 セキュリティ更新プログラム : nghttp2(SUSE-SU-2021:0932-1)(Data Dribble)(Resource Loop)

high Nessus プラグイン ID 148164

バージョン 1.4