HTTP/2 资源管理错误漏洞(CVE-2019-9513)脆弱性分析报表修复

最新推荐文章于 2024-12-20 17:56:23 发布
最新推荐文章于 2024-12-20 17:56:23 发布
阅读量2.6w 收藏 10
点赞数 2
分类专栏: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lazycheerup/article/details/104822206
版权

一、概述

nginx 1.16.1 稳定版和 nginx 1.17.3 主线版发布 修复安全问题

nginx 1.17.3

安全:当使用 HTTP/2 时,客户端可能会导致过多的内存消耗和 CPU 使用 (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516)

Bugfix:使用 gzipping 时 "zero size buf" 警告可能会出现在日志中(此 bug 在 1.17.2 中出现)

Bugfix:如果在 SMTP 中使用了 "resolver 指令,worker 进程可能会出现段错误

nginx 1.16.1

安全:当使用 HTTP/2 时,客户端可能会导致过多的内存消耗和 CPU 使用 (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516)

a.漏洞详情图:

 

b.nginx 官网参考链接:

 http://nginx0org.icopy.site/en/security_advisories.html

截图:

 二、修复方案

a.原nginx版本

[root]# nginx -v
nginx version: nginx/1.17.2

b.更新nginx版本

[root]# yum update nginx  
Loaded plugins: fastestmirror
Setting up Update Process
Determining fastest mirrors
 * base: mirrors.aliyun.com
 * elrepo: mirrors.tuna.tsinghua.edu.cn
 * extras: mirrors.aliyun.com
 * updates: mirrors.aliyun.com

 c.新版版本:

[root]# nginx -v
nginx version: nginx/1.17.9

 

[网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗
杨秀璋的专栏
04-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前面三篇文章详细分享了WannaCry勒索病毒,包括病毒复现、IDA和OD逆向分析蠕虫传播、防护措施等,那么如何防护呢?所以,接下来这篇文章作者将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章,希望对您有所帮助,如果存在错误或不足之处,还望告知,加油!
基于网络安全相关的开源项目技术预研分析报告
sx0522的专栏
11-10 9256
目 录 基于网络安全相关的开源项目技术预研分析报告 1 1. 预研背景 3 2. 预研目的和意义 3 3. 预研目标 3 4. 预研技术描述 3 4.1 态势感知或安全运营中心-OSSIM 3 4.1.1 OSSIM简介 3 4.1.2 OSSIM的功能 4 4.1.3 OSSIM的架构 6 4.1.4 OSSIM各个模块之间的关系 7 4.1.5 OSSIM关联引擎 8 4.1.6 OSSIM部署 11 4.2 入侵检测防御技术-Snort/Security Onion 1...
【OPNEGIS】Geoserver原地升级jetty,解决Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487)
zhoulizhu的博客
12-11 7124
Geoserver是我们常用的地图服务器,在开源系统中的应用比较广泛。在实际环境中,我们可能会选用官方的二进制安装包进行部署,这样只要服务器上有java环境就可以运行,方便在现场进行部署。
HTTP/2 中的漏洞
ptsecurity的博客
10-11 5141
要利用该漏洞,攻击者需要在 HTTP/2 会话中打开大量请求,然后在不等待服务器响应的情况下,使用RST_STREAM 请求中断连接。利用该漏洞可以在客户端负载最小的情况下,向服务器发送大量请求流,从而导致系统拒绝服务。Apache 软件基金会发布了 Tomcat 的更新,F5 发布了 Nginx 的更新。该漏洞HTTP/2 协议实施中的一个缺陷有关,可用于实施 DDoS 攻击。使用该漏洞的攻击被命名为 HTTP/2 快速重置。如果安装了最新的知识库更新,将自动识别易受攻击的资产。
Windows资源管理器崩溃漏洞
weixin_30321449的博客
01-15 237
无关紧要的小漏洞,用来防止文件夹被删还是有点儿用的..(不过如果把文件藏里面可能会悲剧..) 漏洞描述:删除特定文件夹时导致资源管理器崩溃 测试版本:6.1.7601.17514 测试环境:Windows7 SP1 测试方法: 进入命令提示符 mkdir c:\test cd c:\test mkdir ....\ 好了下面进入资源管理器试着删除C:\te...
HTTP/2 中的漏洞CVE-2023-44487
2301_80115097的博客
10-19 2万+
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞,,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。需要说明的是,Nginx 1.19.7 及其之后版本是通过。
一些漏洞问题记录(CVE-2020-15778/CVE-2019-9513/CVE-2019-9511)
Rorschach的博客
01-08 3449
目录1. OpenSSH 命令注入漏洞(CVE-2020-15778)1.1 问题描述1.2 问题处理2. nginx 安全漏洞(CVE-2019-9513)2.1 问题描述2.2 问题处理 1. OpenSSH 命令注入漏洞(CVE-2020-15778) 1.1 问题描述        OpenSSH(OpenBSD Secure Shell)是OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,
记一次nginx 平滑升级 到1.17.5解决(CVE-2019-9511)(CVE-2019-9513)(CVE-2019-9516)
join_gonner的博客
10-23 1万+
记一次nginx 平滑升级 到1.17.5 解决HTTP/2资源管理错误漏洞(CVE-2019-9511)(CVE-2019-9513)(CVE-2019-9516) 一、下载解压 下载新的版本 wget http://www.nginx.org/download/nginx-1.17.5.tar.gz 解压 tar -xvf nginx-1.17.5.tar.gz //进入新版本目录 cd nginx-1.17.5 //执行配置 ./configure //执行编译(只编译不安装) make 二
nginx http/2模块漏洞修复记录
hard_refuse_back的博客
10-25 1924
网站的nginx http/2模块安全漏洞修复记录 解决方案:将旧版本1.14.2升至安全版本1.16.1 1.nginx旧版本配置查看 [root@node2 ~]# nginx -V nginx version: nginx/1.14.2 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) built with OpenSSL 1.0.2s 28 May 2019 TLS SNI support enabled configure argumen
检测到远端x服务正在运行中漏洞
最新发布
03-15
### 关于远程 X 服务运行中的漏洞修复方案 对于提到的“远程 X 服务”,虽然具体的服务名称未明确指出,但从上下文中可以看出可能涉及多种常见的远程服务(如 Windows 远程桌面、SQL Server 报告服务、Redis 或 ...
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
NISP
极光时流
07-21 3027
NISP七月份练习01 文章目录NISP七月份练习01NISP七月份练习02NISP七月份练习03NISP七月份练习04NISP七月份练习05NISP七月份练习06NISP七月份练习07NISP七月份练习08NISP七月份练习09NISP七月份练习10NISP七月份练习11NISP七月份练习12NISP七月份练习13NISP七月份练习14NISP七月份练习15NISP七月份练习16NISP七月份练习17NISP七月份练习18 1我国的( )主要规定了关于数据电文、电子签名与认证及相关的法律责任 A.《中华人
nginx漏洞
冰恋云的专栏
10-24 3110
nginx版本我安装的是nginx/1.16.0 nginx
最新 HTTP/2 漏洞曝光,直指 Kubernetes!
CSDN资讯
09-30 2631
在这个数据、应用横行的时代,漏洞的出现早已屡见不鲜。在尚未造成大面积危害之前,我们该如何做好防御措施?或许从过往经常发生漏洞的事件中我们能够得到一些启发。 近日,Netflix、Google 及 CERT/CC 披露了 HTTP/2 相关的 8 个安全漏洞,就连用来打造 Kubernetes 的 Go 语言也受到其中两个漏洞的波及,导致 Kubernetes 所有版本都受到相关漏洞影响,可...
高危:Apache Tomcat HTTP/2 DoS 漏洞,影响多个版本
KHOST的博客
07-01 900
Apache Tomcat 安全团队报告了一个 Tomcat HTTP/2 DoS 漏洞HTTP/2 请求的特制序列可能会在数秒内引发较高的 CPU 使用率,如果有足够数量的此类请求在并发 HTTP/2 连接上进行连接时,服务器可能无响应,即造成拒绝服务。 该漏洞严重等级定为“重大”(Important),编号 CVE-2020-11996。 受影响的软件版本包括: Apache Tomcat 10.0.0-M1 到 10.0.0-M5 Apache Tomcat 9.0.0.
CVE-2020-11996: Apache Tomcat HTTP/2 拒绝服务攻击漏洞通告
爱国小白帽
06-30 8710
CVE-2020-11996: Apache Tomcat HTTP/2 拒绝服务攻击漏洞通告 360-CERT [三六零CERT](javascript:void(0)???? 昨天 0x00 漏洞背景 2020年06月29日, 360CERT监测发现 apache 官方 发布了 Tomcat http/2 拒绝服务攻击 的风险通告,该漏洞编号为 CVE-2020-11996,漏洞等级:中危。 Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Mic
Nginx 配置错误导致漏洞
来日可期的博客
09-10 3472
Nginx 是一款常用的开源 Web 服务器软件,但在配置过程中可能会出现一些错误,导致潜在的安全漏洞。CRLF注入漏洞,目录穿越漏洞,add_header被覆盖
记一次解决Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487)过程
weixin_43929663的博客
12-20 2852
由于甲方等保测评时漏洞扫描,爆出Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487),高危漏洞需要紧急修复
Nginx HTTP/2模块远程拒绝服务漏洞
罗彬桦的博客
08-25 1602
漏洞描述:漏洞存在于ngx_http_v2_module模块之中(默认情况下不编译,编译时需要开启--with-http_v2_module,同时将listen http2添加到配置文件中),当用户添加http2支持时,攻击者可以发送特制的HTTP/2请求,可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844),最终导致服务器DoS。 方案一: 升级至Nginx最新安全版本(1.15.6或1.14.1),官方下载链接:http://nginx.org/en
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值