新闻快讯
< >

Nginx开源web服务器软件本周发布更新,修复多个拒绝服务(DoS)漏洞

Nginx除提供web服务器的功能外,还可用作负载均衡器及反向代理。作为使用范围最广的web服务器之一,Nginx约为4亿个网站提供支持。nginx所在的NGINX公司已筹资1亿美元,其中包括2018年6月所筹的4300万美元。 

Nginx开源web服务器软件本周发布更新,修复多个拒绝服务(DoS)漏洞-E安全

Nginx开发者本周宣布,其1.15.6及1.14.1版本已修复HTTP/2协议实现中的漏洞,这些漏洞可导致拒绝服务状态,版本1.9.5至1.15.5皆受其影响 

其中一个编码为“CVE-2018-16843”的漏洞可导致内存过度消耗。另一个由F5 网络公司的盖尔·戈德什丁(GalGoldshtein)发现的安全漏洞可导致CPU占用率过高(CVE-2018-16844)。 

Nginx核心开发员马克西姆·杜宁(Maxim Dounin)解释道,“若在配置文件中使用‘listen’指令的‘http2’选项,这些问题将影响由thengx_http_v2_module模块编译的nginx(默认情况下不编译)。” 

使用nginx的网站管理员同样被告知存在影响ngx_http_mp4_module模块的安全漏洞,该模块为MP4媒体文件提供伪流支持。 

该编码为“CVE-2018-16845”的安全漏洞可允许攻击者通过使用模块处理特别构造的MP4文件,导致工作进程崩溃或内存泄露 

杜宁解释道,“若在配置文件中使用‘mp4’指令,且利用ngx_http_mp4_module进行构建(默认情况下不构建),该问题将只影响nginx。而且,只有当攻击者能够利用ngx_http_mp4_module触发处理特别构造的mp4文件的进程,该攻击才能生效。” 

Nginx 1.1.3及其更高版本与1.0.7及其更高版本均受该漏洞影响,而11月6日发布的版本1.15.6及1.14.1中已修复该漏洞


E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号j871798128②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站户网站户网站www.easyaq.com , 查 , 查 , 查看更多精彩内容。