Nginx开源web服务器软件本周发布更新,修复多个拒绝服务(DoS)漏洞

自媒体 自媒体

更多全球网络安全资讯尽在E安全官网www.easyaq.com

(本文来自www.777n.com)



(原创文章www.777n.com)

小编来报:Nginx开发者本周宣布,其1.15.6及1.14.1版本已修复HTTP/2协议实现中的漏洞,这些漏洞可导致拒绝服务状态,版本1.9.5至1.15.5皆受其影响。 (自媒体www.777n.com)


作为使用范围最广的web服务器之一,,Nginx开源web服务器修复多个拒绝服务(DoS)漏洞。Nginx除提供web服务器的功能外,还可用作负载均衡器及反向代理。作为使用范围最广的web服务器之一,Nginx约为4亿个网站提供支持。Nginx所在的NGINX公司已筹资1亿美元,其中包括2018年6月所筹的4300万美元。

 

Nginx开源web服务器软件本周发布更新,修复多个拒绝服务(DoS)漏洞


Nginx开发者本周宣布,其1.15.6及1.14.1版本已修复HTTP/2协议实现中的漏洞,这些漏洞可导致拒绝服务状态,版本1.9.5至1.15.5皆受其影响

 

其中一个编码为“CVE-2018-16843”的漏洞可导致内存过度消耗。另一个由F5 网络公司的盖尔·戈德什丁(GalGoldshtein)发现的安全漏洞可导致CPU占用率过高(CVE-2018-16844)。

 

Nginx核心开发员马克西姆·杜宁(Maxim Dounin)解释道,“若在配置文件中使用‘listen’指令的‘http2’选项,这些问题将影响由thengx_http_v2_module模块编译的Nginx(默认情况下不编译)。”

 

使用Nginx的网站管理员同样被告知存在影响ngx_http_mp4_module模块的安全漏洞,该模块为MP4媒体文件提供伪流支持。

 

该编码为“CVE-2018-16845”的安全漏洞可允许攻击者通过使用模块处理特别构造的MP4文件,导致工作进程崩溃或内存泄露

 

杜宁解释道,“若在配置文件中使用‘mp4’指令,且利用ngx_http_mp4_module进行构建(默认情况下不构建),该问题将只影响nginx。而且,只有当攻击者能够利用ngx_http_mp4_module触发处理特别构造的mp4文件的进程,该攻击才能生效。”

 

Nginx 1.1.3及其更高版本与1.0.7及其更高版本均受该漏洞影响,而11月6日发布的版本1.15.6及1.14.1中已修复该漏洞


注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com

推荐阅读:

  • 攻击者可利用印象笔记中的XSS漏洞执行命令并窃取文件

  • 美国网络司令部在VirusTotal上共享恶意软件样本

  • 浙江省工业互联网产业联盟理事长范渊:安全保障可以助推工业企业转型

  • StopLift人工智能技术可检测自助结账系统中异常或潜在欺诈行为

  • 美国空军宣布第三次Bug赏金计划

  • Chrome将于12月起禁用影响用户体验网站上的所有广告

Nginx开源web服务器软件本周发布更新,修复多个拒绝服务(DoS)漏洞

点击“阅读原文” 查看更多精彩内容


Nginx开源web服务器软件本周发布更新,修复多个拒绝服务(DoS)漏洞

喜欢记得打赏小E哦!


Copyright2018.亲亲自媒体资讯站,让大家及时掌握各行各业第一手资讯新闻!