<div dir="ltr">Hello everyone. <div><br></div><div></div><div>I need to pass a security audit, For a PCI compliance process.</div><div><br></div><div>A scan was performed on my servers and found a vulnerability in nginx </div><div>"HTTP2 SETTINGS FRAME Denial of Service"<br><br></div><div>I upgraded nginx to the latest stable 1.16.1 which supposedly fixes that issue. see : <a href="https://mailman.nginx.org/pipermail/nginx-announce/2019/000249.html" target="_blank">https://mailman.nginx.org/pipermail/nginx-announce/2019/000249.html</a><br><br></div><div>But the security scan is still reporting the same problem.<br>The scan report ends with - "technical details : sent HTTP2 request with 20 SETTINGS and received a valid response"<br><br></div><div>I do have http2 enabled, and need it to stay enabled.</div><div><br></div><div>Can someone please point me in the right direction about how to fix this. I have a few questions.</div><div>Can I disable that "20 SETTINGS" request somehow? </div><div>Will that mess up my http2 connections? </div><div>Is there some other solution? </div><div>Should I try to update to mainline? </div><div><br></div><div>Here is the output of my nginx -V</div><div><br></div><div>nginx version: nginx/1.16.1<br>built by clang 6.0.0 (tags/RELEASE_600/final 326565) (based on LLVM 6.0.0)<br>built with OpenSSL 1.0.2o-freebsd  27 Mar 2018<br>TLS SNI support enabled<br>configure arguments: --prefix=/usr/local/nginx --with-http_ssl_module --with-http_v2_module<br></div><div><br></div><div>thanks!<br></div><div><br></div><div>- Jose</div></div>