Nginx安全問題使1400多萬臺伺服器容易受到DoS攻擊
新版本的Nginx Web伺服器已於11月6日釋出,用於修復影響1.15.6,1.14.1之前版本的多個安全問題,該漏洞允許潛在的攻擊者觸發拒絕服務(DoS)狀態並可能訪問敏感的資訊。
Nginx是一個開源的“HTTP和反向代理伺服器,郵件代理伺服器,以及通用的TCP/UDP代理伺服器”,採用BSD協議釋出。
此外,根據Netcraft的資料,nginx在2018年10月為25.28%最繁忙的網站提供服務。這裡有一些成功的例子:Dropbox, Netflix, Wordpress.com, FastMail.FM。”
“在nginx HTTP/2實現中發現了兩個安全問題,這可能導致過多的記憶體消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844),”詳見nginx的 ofollow,noindex">安全建議 。
此外,“如果在配置檔案中使用”listen“指令的”http2“選項,則問題會影響使用ngx_http_v2_module編譯的nginx(預設情況下不編譯)。”
為了利用上述兩個問題,攻擊者可以傳送特製的HTTP/2請求,這將導致過多的CPU使用和記憶體使用,最終觸發DoS狀態。
執行未修補的nginx版本的所有伺服器都容易受到DoS攻擊
第三個安全問題(CVE-2018-16845) 影響MP4模組 ,允許攻擊者在惡意製作的MP4檔案的幫助下,在工作程序中導致無限迴圈,崩潰或記憶體洩露狀態。
最後一個安全問題僅影響執行使用ngx_http_mp4_module構建的nginx版本並在配置檔案中啟用mp4選項的伺服器。此外,如果攻擊者還設法觸發惡意MP4檔案的處理,則該問題僅會影響伺服器。
雖然HTTP/2漏洞影響1.9.5和1.15.5之間的所有nginx版本,但MP4模組安全問題會影響執行nginx 1.0.7及更高版本的伺服器以及nginx 1.1.3或更高版本。
為緩解這兩個問題,伺服器管理員必須將其 nginx安裝更新 為1.14.1 穩定版或1.15.6主線版本。
目前,一個快速的 Shodan搜尋 顯示超過1400萬臺伺服器執行未修補的nginx版本(更確切地說是14036690),而只有6992臺伺服器打了補丁。
Nginx配置HTTPS詳細說明 Linux/2018-11/../../Linux/2018-08/153609.htm" rel="nofollow,noindex" target="_blank">https://www.linuxidc.com/Linux/2018-08/153609.htm
Linux 下 Nginx 安裝部署 Let's Encrypt 證書實現 HTTPS https://www.linuxidc.com/Linux/2018-08/153410.htm
Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx
本文永久更新連結地址: https://www.linuxidc.com/Linux/2018-11/155240.htm