CVE-2018-16845 nginx組件內(nèi)存泄露
2018-11-10 19:46:17
近日�,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到nginx ngx_http_mp4_module組件存在內(nèi)存泄露漏洞�,會影響 MP4 模塊,使得攻擊者在惡意制作的 MP4 文件的幫助下�,在 worker 進程中導(dǎo)致出現(xiàn)無限循環(huán)、崩潰或內(nèi)存泄露狀態(tài)���。
漏洞編號
CVE-2018-16845
漏洞名稱
nginx ngx_http_mp4_module組件內(nèi)存泄露漏洞
漏洞危害等級
中危
漏洞描述
nginx是一款輕量級Web服務(wù)器/反向代理服務(wù)器及電子郵件(IMAP/POP3)代理服務(wù)器���。
Nginx 1.15.5及之前的版本和1.14.1版本中的ngx_http_mp4_module組件存在內(nèi)存泄露漏洞,該漏洞源于程序未能正確處理MP4文件����,會影響運行使用 ngx_http_mp4_module 構(gòu)建的 nginx 版本并在配置文件中啟用 mp4 選項的服務(wù)器���。遠程攻擊者可利用該漏洞獲取敏感信息或造成拒絕服務(wù)��。
影響版本
Nginx nginx 1.1.3+
Nginx nginx 1.0.7+
Nginx nginx 1.14.1
Nginx nginx <=1.15.5
修復(fù)方案
廠商已發(fā)布漏洞修復(fù)程序�,請及時關(guān)注更新:http://nginx.org/download/patch.2018.mp4.txt
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2018/11/10