【安全预警】关于 Nginx 多个模块安全漏洞的通知

尊敬的腾讯云客户，您好：　　近日，腾讯云安全中心监测到 Nginx 被曝存在拒绝服务漏洞（漏洞编号：CVE-2018-16843/CVE-2018-16844/CVE-2018-16845），攻击者可利用该漏洞进行拒绝服务攻击，从而造成资源耗尽，服务不可用。
       为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。


【漏洞详情】
   CVE-2018-16843/CVE-2018-16844：ngx_http_v2_module模块HTTP/2实现存在漏洞，从而引起内存和CPU消耗问题，nginx 默认不启用该模块，启用该模块的服务将会受影响。
   CVE-2018-16845：ngx_http_mp4_module模块存在漏洞，攻击者可构造特定的mp4文件引起进程崩溃或内存泄露，nginx 默认不启用该模块，启用该模块的服务将会受影响。

【风险等级】
   中风险

【漏洞风险】
   拒绝服务

【影响版本】
目前已知受影响版本如下：
   CVE-2018-16843/CVE-2018-16844 影响版本：nginx 1.9.5 - 1.15.5.
   CVE-2018-16845 影响版本：nginx 1.1.3+, 1.0.7+.


【安全版本】
   CVE-2018-16843/CVE-2018-16844 安全版本：nginx 1.15.6, 1.14.1.
   CVE-2018-16845 安全版本：nginx 1.15.6, 1.14.1.

【修复建议】
建议您参照上述【安全版本】升级到对应的最新版本（目前最新版本下载链接：http://nginx.org/en/download.html ）

【漏洞参考】
  1）ngx_http_mp4_module 模块DOS漏洞：http://mailman.nginx.org/pipermail/nginx-announce/2018/000221.html
  2）ngx_http_v2_module 模块内存消耗问题：http://mailman.nginx.org/pipermail/nginx-announce/2018/000220.html
  3）ngx_http_v2_module 模块CPU消耗问题：http://mailman.nginx.org/pipermail/nginx-announce/2018/000219.html