网络&信息安全:nginx漏洞收集(升级至最新版本)

已于 2024-03-05 14:04:20 修改
阅读量1.5w 收藏 31
点赞数 48
分类专栏: # 网络安全/运维 Linux 专栏 文章标签: web安全 nginx 安全 nginx升级 运维
于 2024-03-05 13:18:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41840843/article/details/136475638
版权

网络&信息安全:nginx漏洞收集(升级至最新版本)


💖The Begin💖点点关注,收藏不迷路💖

在这里插入图片描述

一、风险详情

1.1 nginx 越界写入漏洞(CVE-2022-41742)

漏洞名称: nginx 越界写入漏洞(CVE-2022-41742)

风险等级:

高可利用:

CVE编号: CVE-2022-41742

端口(服务): 8000(nginx)

风险描述:

NGINX 在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文件致使 worker 进程出现内存泄露。该问题仅影响启用了 ngx_http_mp4_module 模块(默认不启用)并在配置文件中使用 .mp4 指令的 NGINX。

此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

风险影响: 影响nginx: 1.1.3版本(含)至1.22.0版本(含),1.23.0版本,1.23.1版本,r1版本,r2版本,r22版本(含)至r27版本(含)

解决方案: 升级至最新版本,官方下载链接:https://nginx.org/en/download.html

1.2 nginx 缓冲区错误漏洞(CVE-2022-41741)

漏洞名称: nginx 缓冲区错误漏洞(CVE-2022-41741)【低可信】

风险等级:

高可利用:

CVE编号: CVE-2022-41741

端口(服务): 8000(nginx)

风险描述:

NGINX 在 ngx_http_mp4_module 中有一个漏洞,可能允许攻击者破坏 NGINX。使用特制的 mp4 文件可以损坏 worker 进程(负责流量处理)的内存,导致其终止或潜在的其他影响。该问题仅影响启用了 ngx_http_mp4_module 模块并在配置文件中使用 mp4 指令的 NGINX。

此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

风险影响: 影响nginx: 1.1.3版本(含)至1.22.0版本(含),1.23.0版本,1.23.1版本,r1版本,r2版本,r22版本(含)至r27版本(含)

解决方案: 升级至最新版本,官方下载链接:https://nginx.org/en/download.html

1.3 nginx 拒绝服务漏洞(CNVD-2018-22806)

漏洞名称: nginx拒绝服务漏洞(CNVD-2018-22806)

风险等级:

高可利用:

CVE编号: CNVD-2018-22806

端口(服务): 8000(nginx)

风险描述:

nginx是一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。

Nginx 1.15.5之前的版本和1.14.1版本中的HTTP/2实现过程中存在安全漏洞。远程攻击者可通过发送恶意的请求利用该漏洞造成拒绝服务。

风险影响: Nginx nginx <1.15.5

解决方案: 升级至最新版本,官方下载链接:https://nginx.org/en/download.html

二、nginx升级步骤

参考下面这篇文章进行升级处理:

【关于nginx升级—存在0day漏洞】

在这里插入图片描述


💖The End💖点点关注,收藏不迷路💖
网络安全设备资产指纹收集:应用指纹的探索与实践
不忘初心,护天下安全!
11-11 271
设备资产指纹收集是一项网络攻防对抗中至关重要的任务。其中,应用指纹的收集对于准确识别网络中的各类应用程序、评估潜在安全风险以及制定有效的安全策略具有关键意义。本文将深入探讨网络安全设备资产指纹收集的关键技术,重点介绍我们团队收集的应用指纹集,并推荐一些相关的开源工具。
国家信息安全漏洞库(CNNVD)技术支撑单位
longyurenzheng的博客
11-07 2809
CNNVD技术支撑单位计划主要面向信息安全厂商、软硬件厂商与互联网公司等, 以平等自愿的原则,通过签约合作的方式与这些单位开展合作。本计划通过整合业内资源, 联合技术支撑单位,提高重大漏洞和重要安全事件的发现、分析、处置能力, 进一步助力信息安全漏洞研究、事件解读,形成漏洞/事件的收集、分析、处置、披露的良性机制, 从而提高我国信息安全漏洞/事件的研究水平和通报能力。►►►级别划分CNNVD 技术支撑单位共设置三种级别,分别是一级、二级和三级(一级为最高级别),依据技术支撑单位的公司规模、技术研究能力、贡献
nginx 升级为最新版 1.12.0
04-25
NULL 博文链接:https://gjp014.iteye.com/blog/2384146
nginx升级到最新版
m0_37581001的博客
05-13 440
1、升级测试环境的nginx 到了1.17 注意:主服务器的ubuntu还是14.04的,这个需要升级到16 步骤: • 必须是ubuntu16.0.4 • 在 /etc/apt/sources.list.d/ 下添加一个 nginx.list 文件,内容如下: deb http://nginx.org/packages/mainline/ubuntu/ xenial nginx deb-src http://nginx.org/packages/mainl...
Nginx漏洞复现与防御实战|2024最新CVE解析(含目录遍历/文件解析绕过/反向代理漏洞EXP复现+安全加固方案)渗透测试工程师必看」
最新发布
浩策盾悟
03-02 4752
通过访问config.do配置页面,先更改Work Home工作目录,用有效的已部署的Web应用目录替换默认的存储JKS Keystores文件的目录,之后使用"添加Keystore设置"的功能,可上传恶意的JSP脚本文件。而反序列话则是再把字节序列恢复为java对象的过程,然而就在这一转一变得过程中,程序员的过滤不严格,就可以导致恶意构造的代码的实现。IIS的短文件名机制,可以暴力猜解短文件名,访问构造的某个存在的短文件名,会返回404,访问构造的某个不存在的短文件名,返回400。
nginx 版本升级
leonnew的博客
07-27 5075
Nginx 的版本最开始使用的是, 由于服务升级,需要将 Nginx 的版本升级到,要求 Nginx 不能中断提供服务。
Nginx版本升级
qq_43919743的博客
04-11 477
下载Stable version版本第二列(nginx-1.24.0)
升级nginx版本
阿铭的博客
05-28 2168
近期安扫工具扫描出nginx1.6版本存在漏洞,需要修复. 记录下升级过程. 1. 下载最新版本nginx 1.22 下载地址 2. 解压tar: tar -zxvf nginx-1.22.0.tar.gz # 解压tar [root@lstax ~]tar -zxvf nginx-1.22.0.tar.gz # 文件列表 [root@lstax ~]# ll nginx-1.22.0 total 832 drwxr-xr-x 6 clamav git 4096 May 28 15:00 auto
框架安全-CVE 复现&Spring&Struts&Laravel&ThinkPHP漏洞复现
zz12345600354的博客
04-26 899
目录 服务攻防-框架安全&amp;CVE 复现&amp;Spring&amp;Struts&amp;Laravel&amp;ThinkPHP * 概述 PHP-开发框架安全-Thinkphp&amp;Laravel * 漏洞复现 * Thinkphp-3.X RCE Thinkphp-5.X RCE Laravel框架安全问题- CVE-2021-3129 RCE JAVAWEB-开发框架安全-Spring&amp;Struts2 * Struts2框架安全
【Chrome 80安全升级】:重定向漏洞全面防御指南
[【Chrome 80安全升级】:重定向漏洞全面防御指南](https://cdn.invicti.com/app/uploads/2022/05/24124856/x_frame_options_http_header_browsers_supported.png) 参考资源链接:[Google chrome 80版本Google ...
专家揭秘:Nginx服务器性能与安全性的终极优化法(进阶秘籍)
本文旨在全面概述Nginx服务器的基本概念、性能优化、安全策略、高级配置、故障排查以及未来发展趋势。首先介绍了Nginx服务器的基本功能,随后深入分析了其性能瓶颈,并提出了针对硬件和软件层面的优化策略。接着探讨...
nginx-1.13.3,nginx1.13.3不存在信息泄漏漏洞安全稳定nginx版本
10-09
亲测好用.nginx-1.13.3,nginx1.13.3不存在信息泄漏漏洞安全稳定nginx版本,不存在漏洞 nginx-1.13.3 nginx1.13.3 安全稳定 nginx版本
nginx漏洞修复 ngx_http_mp4_module漏洞(CVE-2022-41742)【低可信】 nginx版本升级
石宗昊的博客
07-23 2272
Nginx 的受影响版本中的ngx _http_mp4_module模块存在内存越界写入漏洞,当在配置中使用 mp4 directive时,攻击者可利用此漏洞使用使用ngx_http_mp4_module模块处理特制的音频或视频文件时导致损坏Nginx worker 内存,进而导致 Nginx 工作进程终止或内存泄露。之前安装是使用二进制安装,本次平滑升级也使用二进制,更新到最新的稳定版本1.26。有条件的可以使用yum (有条件指,服务器可以使用yum源安装)进行升级。然后将目前存活的nginx干掉。
CentOS7.6系统环境nginx版本升级到1.24.0版本。 (漏洞修复)
weixin_58949710的博客
01-17 898
漏洞扫描发现环境中所使用的nginx版本有高风险漏洞,评估后决定将其升级最新1.24.0版本。
基于补丁方式修复 nginx漏洞 缓冲区错误漏洞(CVE-2022-41741)、越界写入漏洞CVE-2022-41742
阿松哥哥2018的博客
03-20 1万+
基于补丁方式修复 nginx漏洞 缓冲区错误漏洞(CVE-2022-41741)、越界写入漏洞CVE-2022-41742
nginx存在安全漏洞,老版本nginx不停服务热升级
软件老王
12-17 1245
1.场景描述 安全部通知:nginx存在”整数溢出漏洞”,经测试2017年4月21日之后的版本无问题,将openresty升级最新版本Nginx升级到1.13.2之后的版本。 软件老王需要对项目使用的nginx进行升级,为了最小化影响,采用不停服务对nginx进行热升级。 2. 解决方案 nginx升级到17.2,2019年7月的版本。 2.1 整体备份 [root@ruanjianlaow...
nginx常见漏洞解析
热门推荐
qtttgeq的博客
04-06 1万+
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。content-range是什么?range是什么?存在于HTTP请求头中,表示请求目标资源的部分内容,例如请求一个图片的前半部分,单位是byte,原则上从0开始,但今天介绍的是可以设置为负数。range的典型应用场景例如:断点续传、分批请求资源。content-range的表达方式:Range:bytes=0-1024 表示访问第0到第1024字节;
nginx常见漏洞解析_nginx漏洞(2),2024年最新【一篇文章搞懂
2401_84181340的博客
04-10 3969
中间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造成的。但是在开发使用过程中也不乏官方程序自身的一些安全问题。我们在处理应急响应事件时经常遇到这么一种情况,客户网站代码是外包的,也就是第三方公司负责开发,而部署可能是由客户内部运维人员负责。暂不说他们对于中间件安全的重视程度与了解程度,只谈发现漏洞后如何处理,便是一团乱。开发商推卸说这并不是代码上的问题,他们完全是按照安全开发流程(SDL)走的,所以跟他无关。
Nginx 版本升级方案
askuld的博客
06-11 4434
因发现漏洞、需的版本进行更新,需要用到Nginx服务器提供的平滑升级功能。本文仅做备忘功能。
114啦网址导航最新版安装与升级教程
- **安全性维护**:升级时,建议检查安全补丁和系统漏洞,以保证系统的安全性和稳定性。 #### 网站导航系统的实际应用 - **用户体验优化**:网站导航系统需要不断地优化用户界面和交互设计,以提升用户访问的便捷性...
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Seal^_^

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值