当前位置:首页 > Liunx教程 >

Nginx HTTP/2和mp4模块远程拒绝服务漏洞

发布时间:2019-11-26 11:50:50 作者:佚名 阅读:(0)

今天朋友检测服务器提示有漏洞,看了下是nginx版本漏洞:Nginx HTTP/2和mp4模块远程拒绝服务漏洞,接下来吾爱编程位大家介绍一下,有需要的小伙伴可以参考一下:

 漏洞内容如下:

CVE-2018-16843、CVE-2018-16844漏洞存在于ngx_http_v2_module模块之中(默认情况下不编译,编译时需要开启--with-http_v2_module,同时将listen http2添加到配置文件中),当用户添加http2支持时,攻击者可以发送特制的HTTP/2请求,消耗CPU和内存资源,最终导致服务器DoS。CVE-2018-16845漏洞存在于ngx_http_mp4_module模块中,当Nginx处理恶意的MP4文件时会导致处理进程无限循环、崩溃或者内存泄露,造成服务器DoS。



影响范围 主线版本:< 1.15.6 稳定版本:< 1.14.1 风险评级 CVE-2018-16843:高危 CVE-2018-16844:高危 CVE-2018-16845:高危
修复建议


注:漏洞修复要求的技术专业度较高,建议先备份服务器镜像再做升级操作

方案一:

升级至Nginx最新安全版本(1.15.6或1.14.1),官方下载链接:http://nginx.org/en/download.html

方案二:

针对CVE-2018-16843和CVE-2018-16844漏洞,可采取禁用HTTP/2协议(可能导致服务不可用),使用到HTTP/2协议的配置类似如下:

server {
listen 443 ssl http2 default_server;
server_name localhost;
ssl_certificate /path/to/public.crt;
ssl_certificate_key /path/to/private.key;

检查Nginx配置文件中是否使用到http2参数,如没有,则不受漏洞影响。


备注:

有些用户使用的是lnmp安装的环境,可以直接使用升级:命令如下:

./upgrade.sh nginx

然后输入想要升级到的版本

我的升级如下:



欢迎分享转载→ Nginx HTTP/2和mp4模块远程拒绝服务漏洞

© 2015-2019 - 吾爱编程网 版权所有 苏ICP备18033726号-1关于我们 - 网站声明 - 联系我们