近日有外媒報道稱，Nginx被爆出存在安全問題，有可能會導致1400多萬臺服務(wù)器遭受到DoS攻擊。導致出現(xiàn)安全隱患的漏洞存在于HTTP/2和MP4模塊中。對此，Nginx Web服務(wù)器于本周二發(fā)布了新版本，用于修復影響1.15.6,1.14.1之前版本的多個安全問題。然而，又發(fā)現(xiàn)了一個這樣的情況---允許潛在的攻擊者觸發(fā)拒絕服務(wù)(DoS)狀態(tài)并訪問敏感的信息。

“在Nginx HTTP/2的實驗中發(fā)現(xiàn)了兩個安全問題，這可能導致過多的內(nèi)存被消耗(CVE-2018-16843)以及提高CPU的使用率(CVE-2018-16844)”，這是來自于Nginx的安全建議。此外，如果在配置文件中使用“listen”指令的“http2”這個選項，那么則會影響使用ngx_http_v2_module編譯的nginx。

為了利用上述兩個問題，攻擊者可以發(fā)送特制的HTTP/2請求，這將導致過多的CPU使用和內(nèi)存使用，最終觸發(fā)DoS狀態(tài)。

第三個安全問題是(CVE-2018-16845)會影響MP4模塊，使得攻擊者在惡意制作的MP4文件的幫助下，在worker進程中導致出現(xiàn)無限循環(huán)、崩潰或內(nèi)存泄露狀態(tài)。

最后一個安全問題是僅影響運行使用ngx_http_mp4_module構(gòu)建的nginx版本并在配置文件中啟用mp4選項的服務(wù)器。

綜上所述，HTTP/2漏洞影響1.9.5和1.15.5之間的所有nginx版本，MP4模塊安全問題影響運行nginx 1.0.7,1.1.3及更高版本的服務(wù)器。

如果想要緩解上述的安全隱患，服務(wù)器管理員必須將其nginx升級到1.14.1 stable或者1.15.6主線版本才行。

相關(guān)閱讀：

當機柜有了思維之后，數(shù)據(jù)中心的任何問題將無處遁形

為什么一體化機柜會那么的受歡迎？

機柜散熱的解決方案來啦！

標簽： idc idc資訊 web服務(wù)器 安全 服務(wù)器 服務(wù)器管理 漏洞

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。