【安全预警】关于 Nginx 多个模块安全漏洞的通知

最新推荐文章于 2024-06-05 09:06:29 发布
最新推荐文章于 2024-06-05 09:06:29 发布
阅读量1.3k 收藏
点赞数
文章标签: 安全

近日,腾讯云安全中心监测到 Nginx 被曝存在拒绝服务漏洞(漏洞编号:CVE-2018-16843/CVE-2018-16844/CVE-2018-16845),攻击者可利用该漏洞进行拒绝服务攻击,从而造成资源耗尽,服务不可用。

为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
CVE-2018-16843/CVE-2018-16844:ngx_http_v2_module模块HTTP/2实现存在漏洞,从而引起内存和CPU消耗问题,nginx 默认不启用该模块,启用该模块的服务将会受影响。

CVE-2018-16845:ngx_http_mp4_module模块存在漏洞,攻击者可构造特定的mp4文件引起进程崩溃或内存泄露,nginx 默认不启用该模块,启用该模块的服务将会受影响。

【风险等级】
中风险

【漏洞风险】
拒绝服务

【影响版本】
目前已知受影响版本如下:
CVE-2018-16843/CVE-2018-16844 影响版本:nginx 1.9.5 - 1.15.5.
CVE-2018-16845 影响版本:nginx 1.1.3+, 1.0.7+.

【安全版本】
CVE-2018-16843/CVE-2018-16844 安全版本:nginx 1.15.6, 1.14.1.
CVE-2018-16845 安全版本:nginx 1.15.6, 1.14.1.

【修复建议】
建议您参照上述【安全版本】升级到对应的最新版本(目前最新版本下载链接:http://nginx.org/en/download.html

【漏洞参考】
1)ngx_http_mp4_module 模块DOS漏洞:http://mailman.nginx.org/pipermail/nginx-announce/2018/000221.html
2)ngx_http_v2_module 模块内存消耗问题:http://mailman.nginx.org/pipermail/nginx-announce/2018/000220.html
3)ngx_http_v2_module 模块CPU消耗问题:http://mailman.nginx.org/pipermail/nginx-announce/2018/000219.html

小猴浩浩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx-1.13.3,nginx1.13.3不存在信息泄漏漏洞安全稳定nginx版本
10-09
对于大型复杂环境,可以通过多个配置文件和模块组合实现灵活的部署方案。 **5. 性能监控与维护** 使用 Nginx 1.13.3 的用户可以通过内置的访问日志功能进行性能监控,同时还可以利用第三方工具(如 Nginx Plus 或...
椒图服务器安全防护-nginx自编译模块
12-10
椒图服务器安全管理系统是一款:基于web防护和主机系统安全加固防护、应用行为发现管控、微隔离、杀毒、防勒索、webshell、后门、防扫描、防爆破、等防护功能与一体的综合性的防护软件、以上文件为web防护模块nginx-...
NGINX 添加MP4、FLV视频支持模块
TCH8502的专栏
03-04 7129
由于公司网站需要放置视频,但是默认的服务器环境是没有编译这个支持的模块,视频文件只能缓冲完了在播放,非常麻烦。   之前呢也安装了一个nginx_mod_h264_streaming来支持,效果很不错,但是服务器最近系统更新后出了点问题,只好从新编译,今天在nginx官网看到了nginx在新版本中已经支持了--with-http_mp4_module --with-http_flv_m
Nginx漏洞利用与安全加固
weixin_33973600的博客
04-09 314
本文主要分为两大部分,第一部分介绍了Nginx的一些常见安全漏洞的形成原因、利用方法,并给出了相应的解决办法;第二部分介绍了Nginx安全加固时需要关注的主要内容。Nginx(发音同engine x)是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,由俄罗斯的程序设计师Igor Sysoev所开发,可以稳定地运行在Linux、Windows...
Nginx漏洞解析及复现
最新发布
A526847的博客
06-05 2290
开启这一选项有什么用呢?看名字就知道是对文件路径进行“修理”。举个例子,当php遇到 文件路径“/aaa.xxx/bbb.yyy/ccc.zzz”时,若“/aaa.xxx/bbb.yyy/ccc.zzz”不存在,则会去掉最后的 “/ccc.zzz”,然后判断“/aaa.xxx/bbb.yyy”是否存在,若存在,则把“/aaa.xxx/bbb.yyy”当做文件 “/aaa.xxx/bbb.yyy/ccc.zzz”,若“/aaa.xxx/bbb.yyy”仍不存在,则继续去掉“/bbb.yyy”,以此类推。
解决 Nginx CVE-2018-16843 CVE-2018-16844 CVE-2018-16845 CVE-2017-7529 平滑升级到nginx1.14.1
qq_25934401的博客
11-14 1万+
详细情况请参看: Nginx敏感信息泄露漏洞 (CVE-2017-7529) 分析 目前可以修复的方案有三条 1.受影响的版本nginx 0.5.6 - 1.13.2全版本,所以升级到大于1.13.2 就可以解决敏感信息泄露的问题。 2.临时解决方案,在nginx.conf 中配置max_ranges 1 ; 对下载大文件,断点续传会有影响,请酌情使用。 3.使用第三方安全软件进行防御。 升...
Nginx 漏洞 (CVE-2018-16843,CVE-2018-16844)
weixin_33950035的博客
11-11 4582
近日 nginx 被爆出存在安全问题,有可能会致使 1400 多万台服务器易遭受 DoS ***。而导致安全问题的漏洞存在于 HTTP/2 和 MP4 模块中。 nginx Web 服务器于 11 月 6 日 发布了新版本 ,用于修复影响 1.15.6, 1.14.1 之前版本的多个安全问题,被发现的安全问题有一种这样的情况 —— 允许潜在的***者触发拒绝服务 (DoS) 状态并访问敏感的信息。...
Nginx 安全漏洞CVE-2018-16843、CVE-2018-16844】解决办法
adanjeep的博客
11-01 3341
Nginx 安全漏洞CVE-2018-16843、CVE-2018-16844】解决办法
针对OpenSSL安全漏洞调整Nginx服务器的方法
01-10
 当前爆出了Openssl漏洞,会泄露隐私信息,涉及的机器较多,环境迥异,导致修复方案都有所不同。不少服务器使用的Nginx,是静态编译 opensssl,直接将openssl编译到nginx里面去了,这就意味着,单纯升级openssl是...
基于Nginx搭建一个安全的、快速的微服务架构
02-25
今天我们要谈论微服务以及如何使用Nginx构建一个快速的、安全的网络系统。在我们谈话的最后,我们将与我们在Zokets的合作伙伴向您展示一个使用Fabric模式如何非常快速和轻松地构建一个微服务的demo。在我们探讨...
分享Nginx下10个安全问题提示
09-30
Nginx是当今最流行的Web服务器之一。它为世界上7%的web流量提供服务而且正在以惊人的速度增长。它是个让人惊奇的服务器,我愿意部署它
nginx 安全漏洞 (CVE-2013-4547)
weixin_30335353的博客
11-20 85
Nginx安全限制可能会被某些请求给忽略,(CVE-2013-4547). 当我们通过例如下列方式进行 URL 访问限制的时候,如果攻击者使用一些没经过转义的空格字符(无效的 HTTP 协议,但从 Nginx 0.8.41 开始因为考虑兼容性的问题予以支持)那么这个限制可能无效: location /protected/ { deny all; } ...
Nginx 安全漏洞
热门推荐
看着博客敲代码
12-22 2万+
Nginx 安全漏洞 漏洞引发的威胁: CVE-2021-23017 nginx存在安全漏洞,该漏洞源于一个离一错误在该漏洞允许远程攻击者可利用该漏洞在目标系统上执行任意代码。受影响版本:0.6.18-1.20.0 CVE-2019-9511,CVE-2019-9513,CVE-2019-9516 Nginx 1.9.51 至 16.0版本及1.17.2.版本中的HTTP/2实现中存在拒绝服务漏洞,攻击者以多个数据流请求特定资源上的大量数据,通过操纵窗口大小和流优先级,强迫服务器将数据排列在1字节的块中,
nginx文件类型错误解析漏洞
05-21 1229
80sec发现的大漏洞 ,之前听阿里巴巴的同学也说到过 。说明这个漏洞地下知道的人已经很多了只是今天公开了。。。现在来看看漏洞描述漏洞介绍:nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题,默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使
nginx HTTP2 Flood漏洞分析(CVE-2018-16843,CVE-2018-16844)
朝夕闻道
11-11 7890
2018年11月6日,http://nginx.org/公布了两个安全公告,涉及到HTTP/2和MP4两个模块2018-11-06 nginx-1.14.1stable andnginx-1.15.6mainline versions have been released, with fixes forvulnerabilities in HTTP/2(CVE-20...
Nginx工作原理和优化 漏洞
skiwnc的博客
11-07 189
Nginx工作原理和优化 漏洞
Nginx 远程安全漏洞
weixin_30518397的博客
05-15 136
漏洞名称: Nginx 远程安全漏洞 CNNVD编号: CNNVD-201305-235 发布时间: 2013-05-14 更新时间: 2013-05-14 危害等级: 漏洞类型: 威胁类型: 远程 CVE编号: CVE-2013-2070 ...
Nginx 解析漏洞
jiushi221的博客
05-26 188
网络转载 nginx 文件类型错误解析漏洞 Write by admin in 未分类 at 2010-05-20 18:24:55 漏洞介绍: nginx 是一款高性能的 web 服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持 PHP 的运行。 80sec 发现其中存在一个 较为严重的安全问题,默认情况下可能导...
Nginx HTTP/2模块远程拒绝服务漏洞
罗彬桦的博客
08-25 1128
漏洞描述:漏洞存在于ngx_http_v2_module模块之中(默认情况下不编译,编译时需要开启--with-http_v2_module,同时将listen http2添加到配置文件中),当用户添加http2支持时,攻击者可以发送特制的HTTP/2请求,可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844),最终导致服务器DoS。 方案一: 升级至Nginx最新安全版本(1.15.6或1.14.1),官方下载链接:http://nginx.org/en
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值