Nginx HTTP/2模块远程拒绝服务漏洞

最新推荐文章于 2024-07-18 17:05:27 发布
最新推荐文章于 2024-07-18 17:05:27 发布
阅读量1.1k 收藏
点赞数
分类专栏: 漏洞安全 文章标签: http nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45647118/article/details/119920010
版权

漏洞描述:漏洞存在于ngx_http_v2_module模块之中(默认情况下不编译,编译时需要开启--with-http_v2_module,同时将listen http2添加到配置文件中),当用户添加http2支持时,攻击者可以发送特制的HTTP/2请求,可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844),最终导致服务器DoS。

方案一: 升级至Nginx最新安全版本(1.15.6或1.14.1),官方下载链接:http://nginx.org/en/download.html

方案二: 针对CVE-2018-16843和CVE-2018-16844漏洞,可采取禁用HTTP/2协议(可能导致服务不可用),使用到HTTP/2协议的配置类似如下: server { listen 443 ssl http2 default_server; ... }

http://mailman.nginx.org/pipermail/nginx-announce/2018/000220.html

罗彬桦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx http/2模块漏洞修复记录
hard_refuse_back的博客
10-25 1374
网站的nginx http/2模块安全漏洞修复记录 解决方案:将旧版本1.14.2升至安全版本1.16.1 1.nginx旧版本配置查看 [root@node2 ~]# nginx -V nginx version: nginx/1.14.2 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) built with OpenSSL 1.0.2s 28 May 2019 TLS SNI support enabled configure argumen
Nginx漏洞扫描器GUI版
08-20
为了保障网络服务的安全性,对Nginx进行定期的漏洞扫描是非常必要的。这就是“Nginx漏洞扫描器GUI版”的主要功能。 这款扫描器以图形用户界面(GUI)的形式提供,使得非专业安全人员也能方便地操作和理解扫描过程。...
Nginx 安全漏洞CVE-2018-16843、CVE-2018-16844】解决办法
adanjeep的博客
11-01 3273
Nginx 安全漏洞CVE-2018-16843、CVE-2018-16844】解决办法
nginx HTTP2 Flood漏洞分析(CVE-2018-16843,CVE-2018-16844
朝夕闻道
11-11 7859
2018年11月6日,http://nginx.org/公布了两个安全公告,涉及到HTTP/2和MP4两个模块2018-11-06 nginx-1.14.1stable andnginx-1.15.6mainline versions have been released, with fixes forvulnerabilities in HTTP/2(CVE-20...
Nginx 配置防护 缓慢的 HTTP拒绝服务攻击+点击劫持:X-Frame-Options未配置
tonyhi6的博客
06-07 764
缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。1 检测到目标主机可能存在缓慢的HTTP拒绝服务攻击。三 点击劫持:X-Frame-Options未配置。2 再次测试,服务器查看资源使用情况。1 修改nginx配置文件。二 修改nginx配置。
nginx 拒绝服务漏洞(CVE-2016-4450)
qq_39496099的博客
05-28 2712
nginx 拒绝服务漏洞(CVE-2016-4450) 一、漏洞报告 以上漏洞一般都并发存在,原因是nginx版本问题。受影响的版本有: Nginx Nginx 1.11 Nginx Nginx 1.10 Nginx Nginx 1.9.10 Nginx Nginx 1.9.9 Nginx Nginx 1.8.1 Nginx Nginx 1.3.16 Nginx Nginx 1.3.15 Nginx Ngi 二、修复建议 http://nginx.org/en/download.html 下载贴合自己环境
nginx添加模块编译支持http2协议
tiandao321的专栏
07-05 2378
1、首先查看支不支持ALPN,不支持升级openssl包,支持ALPN协议,我使用的是1.0.2这个版本https://www.openssl.org/source/ 官网可以下载。2、安装openssl,下载tag.gz压缩包,解压缩make & test 测试  make & make install 安装3、configure nginx./configure --prefi...
CVE-2020-11996: Apache Tomcat HTTP/2 拒绝服务攻击漏洞通告
爱国小白帽
06-30 8298
CVE-2020-11996: Apache Tomcat HTTP/2 拒绝服务攻击漏洞通告 360-CERT [三六零CERT](javascript:void(0)???? 昨天 0x00 漏洞背景 2020年06月29日, 360CERT监测发现 apache 官方 发布了 Tomcat http/2 拒绝服务攻击 的风险通告,该漏洞编号为 CVE-2020-11996,漏洞等级:中危。 Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Mic
linux nginx漏洞修复,nginx-1.14.1 和 nginx-1.15.6 发布,修复HTTP/2和MP4模块中的漏洞
weixin_27605509的博客
05-15 1988
nginx-1.14.1 稳定版和nginx-1.15.6主线版本已经发布,修复了HTTP/2(CVE-2018-16843,CVE-2018-16844)和MP4模块(CVE-2018-16845)中的漏洞nginx 1.14.1更改*)安全性:使用HTTP/2时,客户端可能会导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)。*)安全性:使用ng...
OpenResty(openresty-1.21.4.1.tar.gz)
04-10
OpenResty的目标是让你的Web服务直接跑在 Nginx 服务内部,充分利用 Nginx 的非阻塞 I/O 模型,不仅仅对 HTTP 客户端请求,甚至于对远程后端诸如 MySQL、PostgreSQL、Memcached 以及 Redis 等都进行一致的高性能响应...
mysql+php+nginx centos服务器配置
07-03
在构建Web服务环境中,"mysql+php+nginx"的组合是一种常见的选择,特别是在Linux系统上,如CentOS ...在实际操作中,务必注意安全配置,如限制远程MySQL访问、定期更新软件以修复安全漏洞等,以保障系统的稳定与安全。
网站安全狗Linux-Nginx版(32位)v2.4.2.gz
07-17
具有DDOS攻击防护、CC攻击防护、Ftp/SSH防暴力破解、SSH远程登录保护、网站漏洞防护、url地址全检测、防盗链、网站特定资源保护、IP黑白名单等功能,全方位防护服务器安全和网站安全。 并支持云端设置。通过安全...
阿里云CENTOS7.7服务器搭建.zip
08-07
2. **远程连接服务器**: 通过SSH协议连接到新创建的ECS实例,可以使用PuTTY或Xshell等SSH客户端。首次登录可能需要输入私钥文件路径,确保已下载并保存实例的密钥对。 3. **系统优化与安全**: - 更新系统:运行...
【OPNEGIS】Geoserver原地升级jetty,解决Apache HTTP/2拒绝服务漏洞 (CVE-2023-44487)
zhoulizhu的博客
12-11 4336
Geoserver是我们常用的地图服务器,在开源系统中的应用比较广泛。在实际环境中,我们可能会选用官方的二进制安装包进行部署,这样只要服务器上有java环境就可以运行,方便在现场进行部署。
关于nginx升级的一些处理(Nginx拒绝服务漏洞(CVE-2018-16843...))
qq_15703497的博客
11-13 9617
近期关于Nginx报出拒绝服务漏洞的修复方案,官方给出的回复是建议升级为1.14.1稳定版和1.15.6主线版。因此我对公司内部的nginx做了升级。查了一些平滑升级的方案 但是由于各种环境因素导致不太合适。最后自己总结了一下自己的省级过程: 1、下载nginx.1.14.1.tar.gz压缩包,下载地址 http://nginx.org/en/download.html   上传压缩包到...
记录一次 nginx拒绝服务漏洞(CNVD-2018-22805)(CVE-2018-16843) nginx升级
qq_37698777的博客
05-31 558
升级背景:系统 CentOS7 镜像 CentOS-7-x86_64-Everything-2009.iso。将旧版本的nginx二进制文件,重命名一个名字,在这期间,当前运行的nginx进程不会停止,不影响应用运行。注意:如果原来的相关配置文件中,写有和ssl有关的配置信息,需要先暂时注释掉,否则更新时会报错。命令:rpm -Uvh *.rpm --nodeps --force。-U:升级软件,若未软件尚未安装,则安装软件。支持,将Nginx 升级至1.22.1 版本。-h:以"#"号显示安装进度。
【安全预警】关于 Nginx 多个模块安全漏洞的通知
u013195691的博客
11-14 1378
近日,腾讯云安全中心监测到 Nginx 被曝存在拒绝服务漏洞漏洞编号:CVE-2018-16843/CVE-2018-16844/CVE-2018-16845),攻击者可利用该漏洞进行拒绝服务攻击,从而造成资源耗尽,服务不可用。 为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 【漏洞详情】 CVE-2018-16...
Nginx实战(十)Nginx漏洞修复
ouyida3的专栏
02-07 8777
文章目录本章导读本章要点Nginx HTTP/2和mp4模块拒绝服务漏洞描述解决方案解释Clickjacking(点击劫持)描述解决方案nginx的解决方法加了x-frame-options后如何验证Nginx range filter模块数字错误漏洞(CVE-2017-7529)1、漏洞描述2、影响程度3 、漏洞原理4、 漏桶解决nginx版本泄露 本章导读 这么快第十章了,这个阶段是最后一章...
NGINX配置禁用http请求方式
qq_36842015的博客
10-17 3416
Nginx配置禁用http请求
https和http区别
最新发布
qq_39495959的博客
07-18 154
HTTP信息是明文传输,而HTTPS则通过SSL/TLS协议进行加密传输,确保数据传输的安全性。HTTPS可以验证服务器身份,防止中间人攻击,保护数据的完整性和保密性。HTTPS是在HTTP基础上加入SSL构建的,支持加密传输和身份认证。由于HTTPS在传输层增加了加密处理,页面加载速度可能会比HTTP慢,且对服务器资源消耗更大。HTTPS需要向CA(证书颁发机构)申请证书,这通常涉及一定的费用,而HTTP不需要。HTTPS的URL以"https://“开头,而HTTP则是"http://”。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值