正在閱讀:Nginx被曝安全問題 1400萬台伺服器遭受攻擊Nginx被曝安全問題 1400萬台伺服器遭受攻擊

2018-11-12 14:34 出處:PConline原創 作者:Wesley 責任編輯:zhangxiaomeng

  【PConline 資訊】近日有外媒報道稱,Nginx被爆出存在安全問題,有可能會導致1400多萬台伺服器遭受到DoS攻擊。導致出現安全隱患的漏洞存在於HTTP/2 和 MP4模組中。對此,Nginx Web伺服器於本周二發佈了新版本,用於修復影響 1.15.6, 1.14.1 之前版本的多個安全問題。然而,又發現了一個這樣的情況---允許潛在的攻擊者觸發拒絕服務(DoS)狀態並訪問敏感的資訊。

  “在Nginx HTTP/2的實驗中發現了兩個安全問題,這可能導致過多的記憶體被消耗(CVE-2018-16843)以及提高CPU的使用率(CVE-2018-16844)”,這是來自於Nginx的安全建議。此外,如果在配置文件中使用“listen”指令的“http2”這個選項,那麼則會影響使用ngx_http_v2_module編譯的nginx。

1

  為了利用上述兩個問題,攻擊者可以發送特制的HTTP/2請求,這將導致過多的CPU使用和記憶體使用,最終觸發DoS狀態。

  第三個安全問題是(CVE-2018-16845)會影響MP4模組,使得攻擊者在惡意制作的MP4文件的幫助下,在worker進程中導致出現無限循環、崩潰或記憶體洩露狀態。

1

  最後一個安全問題是僅影響運行使用ngx_http_mp4_module構建的nginx版本並在配置文件中啟用mp4選項的伺服器。

  綜上所述,HTTP/2漏洞影響1.9.5和1.15.5之間的所有nginx版本,MP4模組安全問題影響運行nginx 1.0.7, 1.1.3及更高版本的伺服器。

  如果想要緩解上述的安全隱患,伺服器管理員必須將其nginx陞級到1.14.1 stable或者1.15.6主線版本才行。[返回頻道首頁]

 
來不及淘寶了 教你3分鐘做出高顏值紅包封 醫院內網染病毒履殺不止 真相竟然是這樣的 出門找個車位真是難 未來用AI即時預判空車位? IPv6終於迎來發展元年 卻擋了SDN的前路? 3D列印的磁性網格機器人長這樣?可抓取小物體

為您推薦

加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多

網路設備論壇帖子排行

最高點擊 最高回覆 最新
最新資訊離線隨時看 聊天吐槽贏獎品