打印 上一主题 下一主题

【安全预警】关于 Nginx 多个模块安全漏洞的通知

跳转到指定楼层
楼主
SetYun 发表于 2018-11-13 15:04:23 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
尊敬的腾讯云客户,您好:  近日,腾讯云安全中心监测到 Nginx 被曝存在拒绝服务漏洞(漏洞编号:CVE-2018-16843/CVE-2018-16844/CVE-2018-16845),攻击者可利用该漏洞进行拒绝服务攻击,从而造成资源耗尽,服务不可用。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。


【漏洞详情】
   CVE-2018-16843/CVE-2018-16844:ngx_http_v2_module模块HTTP/2实现存在漏洞,从而引起内存和CPU消耗问题,nginx 默认不启用该模块,启用该模块的服务将会受影响。
   CVE-2018-16845:ngx_http_mp4_module模块存在漏洞,攻击者可构造特定的mp4文件引起进程崩溃或内存泄露,nginx 默认不启用该模块,启用该模块的服务将会受影响。

【风险等级】
   中风险

【漏洞风险】
   拒绝服务

【影响版本】
目前已知受影响版本如下:
   CVE-2018-16843/CVE-2018-16844 影响版本:nginx 1.9.5 - 1.15.5.
   CVE-2018-16845 影响版本:nginx 1.1.3+, 1.0.7+.


【安全版本】
   CVE-2018-16843/CVE-2018-16844 安全版本:nginx 1.15.6, 1.14.1.
   CVE-2018-16845 安全版本:nginx 1.15.6, 1.14.1.

【修复建议】
建议您参照上述【安全版本】升级到对应的最新版本(目前最新版本下载链接:http://nginx.org/en/download.html

【漏洞参考】
  1)ngx_http_mp4_module 模块DOS漏洞:http://mailman.nginx.org/pipermail/nginx-announce/2018/000221.html
  2)ngx_http_v2_module 模块内存消耗问题:http://mailman.nginx.org/pipermail/nginx-announce/2018/000220.html
  3)ngx_http_v2_module 模块CPU消耗问题:http://mailman.nginx.org/pipermail/nginx-announce/2018/000219.html

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|SetYun ( 辽ICP备16005250号

GMT+8, 2024-12-22 13:23 , Processed in 0.040597 second(s), 4 queries , File On.

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表