原副标题:Nginx被曝安全可靠难题 1400万部伺服器遭遇反击
【PConline 资料库】日前白唇媒报导称,Nginx被曝出存有安全可靠难题,有可能将会引致1400多万部伺服器遭遇到DoS反击。引致再次出现安全可靠隐患的安全漏洞存有于HTTP/2 和 MP4组件中。为此,Nginx Web伺服器本周二正式发布了新版,用作修复负面影响 1.15.6, 1.14.1 以后版的数个安全可靠难题。不过,又辨认出了两个这种的情形—容许潜在性的普通用户促发DNS(DoS)状况并出访脆弱的重要信息。
“在Nginx HTTP/2的试验中辨认出了两个安全可靠难题,这可能将引致过多的缓存被耗用(CVE-2018-16843)和提升CPU的采用率(CVE-2018-16844)”,这是源自于Nginx的安全可靠提议。除此之外,假如在命令行中采用“listen”命令的“http2”那个快捷键,所以则会负面影响采用ngx_http_v2_module校对的nginx。
为的是借助前述三个难题,普通用户能推送托盘的HTTP/2允诺,这将引致过多的CPU采用和缓存采用,最终促发DoS状况。
第二个安全可靠难题是(CVE-2018-16845)会负面影响MP4组件,使普通用户在蓄意制做的MP4文档的协助下,在worker民主化中引致再次出现无穷循环式、崩盘或缓存外泄状况。
最终两个安全可靠难题是仅负面影响运转采用ngx_http_mp4_module构筑的nginx版并在命令行中投入使用mp4快捷键的伺服器。
综上所述,HTTP/2安全漏洞负面影响1.9.5和1.15.5之间的所有nginx版,MP4模块安全可靠难题负面影响运转nginx 1.0.7, 1.1.3及更高版的伺服器。
假如想要缓解前述的安全可靠隐患,伺服器管理员必须将其nginx升级到1.14.1 stable或者1.15.6主线版才行。[返回频道首页]
