Nginx 安详题目致使 1400 多万台处事器易蒙受 DoS 进攻
据外媒报道,克日 nginx 被爆出存在安详题目,有也许会致使 1400 多万台处事器易蒙受 DoS 进攻。而导致安详题目的裂痕存在于 HTTP/2 和 MP4 模块中。 nginx Web 处事器于11月6日宣布了新版本,用于修复影响 1.15.6, 1.14.1 之前版本的多个安详题目,被发明的安详题目有一种这样的环境 —— 应承隐藏的进攻者触发拒绝处事(DoS)状态并会见敏感的信息。 “在 nginx HTTP/2 实现中发明白两个安详题目,这也许导致过多的内存耗损(CVE-2018-16843)和CPU行使率(CVE-2018-16844)”,详见 nginx 的安详提议。 另外,“假如在设置文件中行使"listen"指令的"http2"选项,则题目会影响行使 ngx_http_v2_module 编译的 nginx(默认环境下不编译)。” 为了操作上述两个题目,进攻者可以发送特制的 HTTP/2 哀求,这将导致过多的CPU行使和内存行使,最终触发 DoS 状态。 全部运行未打上补丁的 nginx 处事器都轻易受到 DoS 进攻。 第三个安详题目(CVE-2018-16845)会影响 MP4 模块,使得进攻者在恶意建造的 MP4 文件的辅佐下,在 worker 历程中导致呈现无穷轮回、瓦解或内存泄漏状态。 最后一个安详题目仅影响运行行使 ngx_http_mp4_module 构建的 nginx 版本并在设置文件中启用 mp4 选项的处事器。 总的来说,HTTP/2 裂痕影响 1.9.5 和 1.15.5 之间的全部 nginx 版本,MP4 模块安详题目影响运行 nginx 1.0.7, 1.1.3 及更高版本的处事器。 为缓解这两个安详题目,处事器打点员必需将其 nginx 进级到 1.14.1 stable 或1.15.6 主线版本。 今朝,Shodan 搜刮表现高出 1400 万台处事器运行未包括修复补丁的 nginx 版本(更确切地说是 14,036,690 台),,仅有 6992 台处事器打上了安详补丁。 【编辑保举】
点赞 0 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |