摘要:近日有外媒報道稱,被爆出存在安全問題,有可能會導致多萬臺服務器遭受到攻擊。最后一個安全問題是僅影響運行使用構建的版本并在配置文件中啟用選項的服務器。綜上所述,漏洞影響和之間的所有版本,模塊安全問題影響運行,及更高版本的服務器。
近日有外媒報道稱,Nginx被爆出存在安全問題,有可能會導致1400多萬臺服務器遭受到DoS攻擊。導致出現安全隱患的漏洞存在于HTTP/2 和 MP4模塊中。對此,Nginx Web服務器于本周二發布了新版本,用于修復影響 1.15.6, 1.14.1 之前版本的多個安全問題。然而,又發現了一個這樣的情況---允許潛在的攻擊者觸發拒絕服務(DoS)狀態并訪問敏感的信息。
“在Nginx HTTP/2的實驗中發現了兩個安全問題,這可能導致過多的內存被消耗(CVE-2018-16843)以及提高CPU的使用率(CVE-2018-16844)”,這是來自于Nginx的安全建議。此外,如果在配置文件中使用“listen”指令的“http2”這個選項,那么則會影響使用ngx_http_v2_module編譯的nginx。
為了利用上述兩個問題,攻擊者可以發送特制的HTTP/2請求,這將導致過多的CPU使用和內存使用,最終觸發DoS狀態。
第三個安全問題是(CVE-2018-16845)會影響MP4模塊,使得攻擊者在惡意制作的MP4文件的幫助下,在worker進程中導致出現無限循環、崩潰或內存泄露狀態。
最后一個安全問題是僅影響運行使用ngx_http_mp4_module構建的nginx版本并在配置文件中啟用mp4選項的服務器。
綜上所述,HTTP/2漏洞影響1.9.5和1.15.5之間的所有nginx版本,MP4模塊安全問題影響運行nginx 1.0.7, 1.1.3及更高版本的服務器。
如果想要緩解上述的安全隱患,服務器管理員必須將其nginx升級到1.14.1 stable或者1.15.6主線版本才行。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/5286.html
摘要:一個漏洞在上披露,只需插入鼠標或鍵盤即可獲得管理員權限。權限是中可用的最高用戶權限,允許某人在操作系統上執行任何命令。通過插入鼠標獲得權限測試了該漏洞,并確認在插入鼠標后大約分鐘才能在中獲得系統權限。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overfl...
閱讀 1310·2021-11-16 11:45
閱讀 2233·2021-11-02 14:40
閱讀 3872·2021-09-24 10:25
閱讀 3029·2019-08-30 12:45
閱讀 1255·2019-08-29 18:39
閱讀 2468·2019-08-29 12:32
閱讀 1588·2019-08-26 10:45
閱讀 1917·2019-08-23 17:01