Nginx 安详题目致使 1400 多万台处事器易蒙受 DoS 进攻

据外媒报道，克日 nginx 被爆出存在安详题目，有也许会致使 1400 多万台处事器易蒙受 DoS 进攻。而导致安详题目的裂痕存在于 HTTP/2 和 MP4 模块中。

nginx Web 处事器于11月6日宣布了新版本，用于修复影响 1.15.6, 1.14.1 之前版本的多个安详题目，被发明的安详题目有一种这样的环境 —— 应承隐藏的进攻者触发拒绝处事(DoS)状态并会见敏感的信息。

“在 nginx HTTP/2 实现中发明白两个安详题目，这也许导致过多的内存耗损(CVE-2018-16843)和CPU行使率(CVE-2018-16844)”，详见 nginx 的安详提议。

另外，“假如在设置文件中行使"listen"指令的"http2"选项，则题目会影响行使 ngx_http_v2_module 编译的 nginx(默认环境下不编译)。”

为了操作上述两个题目，进攻者可以发送特制的 HTTP/2 哀求，这将导致过多的CPU行使和内存行使，最终触发 DoS 状态。

全部运行未打上补丁的 nginx 处事器都轻易受到 DoS 进攻。

第三个安详题目(CVE-2018-16845)会影响 MP4 模块，使得进攻者在恶意建造的 MP4 文件的辅佐下，在 worker 历程中导致呈现无穷轮回、瓦解或内存泄漏状态。

最后一个安详题目仅影响运行行使 ngx_http_mp4_module 构建的 nginx 版本并在设置文件中启用 mp4 选项的处事器。

总的来说，HTTP/2 裂痕影响 1.9.5 和 1.15.5 之间的全部 nginx 版本，MP4 模块安详题目影响运行 nginx 1.0.7, 1.1.3 及更高版本的处事器。

为缓解这两个安详题目，处事器打点员必需将其 nginx 进级到 1.14.1 stable 或1.15.6 主线版本。

今朝，Shodan 搜刮表现高出 1400 万台处事器运行未包括修复补丁的 nginx 版本(更确切地说是 14,036,690 台)，，仅有 6992 台处事器打上了安详补丁。

【编辑保举】

1. 相识超融合与传统处事器陈设
2. 处事器和移动硬盘之间传输数据
3. 完备操作Rsync实现处事器/网站数据增量同步备份
4. 怎么回事？收集正常，ssh、scp却毗连不上处事器！
5. 十字符病毒，杀不死的小强：一次云处事器沦亡实录

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!