Відомості про вміст оновлення SwiftNIO HTTP/2 1.5.0, що стосується системи безпеки

У цьому документі описано вміст оновлення SwiftNIO HTTP/2 1.5.0, що стосується системи безпеки.

Відомості про оновлення системи безпеки Apple

З метою захисту наших клієнтів компанія Apple не розголошує, не обговорює та не підтверджує проблеми безпеки, доки не відбудеться розслідування й не стануть доступними виправлення або випуски. Нещодавні випуски доступні на сторінці оновлень безпеки Apple.

Документи про безпеку Apple містять посилання на вебсайт CVE-ID щодо вразливостей системи, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, див. сторінку безпеки продуктів Apple.

SwiftNIO HTTP/2 1.5.0

SwiftNIO HTTP/2

Цільові продукти: SwiftNIO HTTP/2 1.0.0–1.4.0 для macOS Sierra 10.12 і пізнішої версії, а також Ubuntu 14.04 і пізнішої версії

Вплив: сервер HTTP/2 може використовувати необмежені обсяги пам’яті під час отримання певних моделей трафіку, що поступово призводить до виснаження ресурсів.

Опис: цю проблему було вирішено шляхом поліпшеного керуванням розміром буфера.

CVE-2019-9512: Джонатан Луні (Jonathan Looney) з Netflix

CVE-2019-9514: Джонатан Луні (Jonathan Looney) з Netflix

CVE-2019-9515: Джонатан Луні (Jonathan Looney) з Netflix

CVE-2019-9516: Джонатан Луні (Jonathan Looney) з Netflix

SwiftNIO HTTP/2

Цільові продукти: SwiftNIO HTTP/2 1.0.0–1.4.0 для macOS Sierra 10.12 і пізнішої версії, а також Ubuntu 14.04 і пізнішої версії

Вплив: сервер HTTP/2 може споживати надмірну кількість ресурсів ЦП під час отримання певних моделей трафіку.

Опис: цю проблему було вирішено шляхом поліпшеної перевірки вводу.

CVE-2019-9518: Пьотр Сікора (Piotr Sikora) з відділу забезпечення безпеки Envoy корпорації Google