【中危】- Nginx 被爆出发现多个安全问题(CVE-2018-16843等)
■ 漏洞描述
近日Nginx 被爆出发现多个安全问题,允许潜在的攻击者触发拒绝服务(DoS)状态并访问敏感的信息。在 nginx HTTP/2 发现导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)的问题。为了利用上述两个问题,攻击者可以发送特制的 HTTP/2 请求,这将导致过多的CPU使用和内存使用,最终触发 DoS 状态。而CVE-2018-16845会影响 MP4 模块,使得攻击者在恶意制作的 MP4 文件的帮助下,在 worker 进程中导致出现无限循环、崩溃或内存泄露状态。它仅影响运行使用 ngx_http_mp4_module 构建的 nginx 1.0.7, 1.1.3 及更高版本并在配置文件中启用 mp4 选项的服务器。
■ 影响范围
CVE-2018-16843和CVE-2018-16844漏洞影响 1.9.5 和 1.15.5 之间的所有 nginx 版本,CVE-2018-16845漏洞影响nginx 1.0.7, 1.1.3 及更高版本。
■ 漏洞修复
升级nginx到1.14.1 stable或1.15.6主版本。
官方版本地址:http://nginx.org/en/download.html。
■ 缓解措施
如果暂时无法完成升级,可以配置server:server_tokens off隐藏版本信息,内部系统可以设置网络访问白名单或者接入WAF进行防护。
■ 漏洞详情
https://news.softpedia.com/news/nginx-security-issues-expose-more-than-14-million-servers-to-dos-attacks-523659.shtml。
近日Nginx 被爆出发现多个安全问题,允许潜在的攻击者触发拒绝服务(DoS)状态并访问敏感的信息。在 nginx HTTP/2 发现导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)的问题。为了利用上述两个问题,攻击者可以发送特制的 HTTP/2 请求,这将导致过多的CPU使用和内存使用,最终触发 DoS 状态。而CVE-2018-16845会影响 MP4 模块,使得攻击者在恶意制作的 MP4 文件的帮助下,在 worker 进程中导致出现无限循环、崩溃或内存泄露状态。它仅影响运行使用 ngx_http_mp4_module 构建的 nginx 1.0.7, 1.1.3 及更高版本并在配置文件中启用 mp4 选项的服务器。
■ 影响范围
CVE-2018-16843和CVE-2018-16844漏洞影响 1.9.5 和 1.15.5 之间的所有 nginx 版本,CVE-2018-16845漏洞影响nginx 1.0.7, 1.1.3 及更高版本。
■ 漏洞修复
升级nginx到1.14.1 stable或1.15.6主版本。
官方版本地址:http://nginx.org/en/download.html。
■ 缓解措施
如果暂时无法完成升级,可以配置server:server_tokens off隐藏版本信息,内部系统可以设置网络访问白名单或者接入WAF进行防护。
■ 漏洞详情
https://news.softpedia.com/news/nginx-security-issues-expose-more-than-14-million-servers-to-dos-attacks-523659.shtml。