漏洞描述:漏洞存在于ngx_http_v2_module模块之中(默认情况下不编译,编译时需要开启--with-http_v2_module,同时将listen http2添加到配置文件中),当用户添加http2支持时,攻击者可以发送特制的HTTP/2请求,可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844),最终导致服务器DoS。
方案一: 升级至Nginx最新安全版本(1.15.6或1.14.1),官方下载链接:http://nginx.org/en/download.html
方案二: 针对CVE-2018-16843和CVE-2018-16844漏洞,可采取禁用HTTP/2协议(可能导致服务不可用),使用到HTTP/2协议的配置类似如下: server { listen 443 ssl http2 default_server; ... }
http://mailman.nginx.org/pipermail/nginx-announce/2018/000220.html