第160期安全事件
| 英文標(biāo)題 | Nginx server security flaws expose more than a million of servers to DoS attacks |
| 中文標(biāo)題 | Nginx 修補(bǔ)了 Web 服務(wù)器多個(gè)拒絕服務(wù)漏洞 |
| 作者及單位 | Pierluigi Paganini |
| 內(nèi)容概述 |
Nginx 開(kāi)發(fā)團(tuán)隊(duì)發(fā)布了版本 1.15.6 和 1.14.1,解決了兩個(gè) HTTP/2 實(shí)現(xiàn)漏洞。這些漏洞可能導(dǎo)致 Nginx 版本 1.9.5 到 1.15.5 受到 DoS 攻擊。其中 CVE-2018-16843 會(huì)導(dǎo)致過(guò)多的內(nèi)存消耗,CVE-2018-16844 則會(huì)導(dǎo)致過(guò)多的 CPU 使用率。 Nginx 團(tuán)隊(duì)還修復(fù)了影響 ngx_http_mp4_module 模塊的漏洞 CVE-2018-16845,攻擊者可利用該漏洞通過(guò)讓模塊處理特制 的 MP4 文件導(dǎo)致工作進(jìn)程崩潰或內(nèi)存泄漏。該漏洞影響 nginx 1.1.3 及更高版本以及 1.0.7 及更高版本。 |
| 新聞鏈接 |
https://securityaffairs.co/wordpress/77866/hacking/nginx-server-dos-flaws.html |