【風(fēng)險(xiǎn)通告】nginx存在兩處拒絕服務(wù)漏洞
2018-11-12 12:06:47
近日�����,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到外界公布了Nginx漏洞有關(guān)的細(xì)節(jié)信息,這些漏洞若被利用���,可導(dǎo)致拒絕服務(wù)漏洞��。
漏洞編號(hào):
CVE-2018-16844、CVE-2018-16843
漏洞名稱(chēng):
nginx拒絕服務(wù)漏洞
漏洞危害等級(jí):
中危
漏洞描述:
CVE-2018-16843:
Nginx 1.15.6之前的版本和1.14.1版本的HTTP/2實(shí)現(xiàn)過(guò)程中存在安全漏洞����。攻擊者可利用該漏洞消耗大量的內(nèi)存空間。
CVE-2018-16844:
Nginx 1.15.5之前的版本和1.14.1版本中的HTTP/2實(shí)現(xiàn)過(guò)程中存在安全漏洞���。遠(yuǎn)程攻擊者可通過(guò)發(fā)送惡意的請(qǐng)求利用該漏洞造成拒絕服務(wù)�����。
為了利用上述兩個(gè)漏洞�����,攻擊者可以發(fā)送特制的 HTTP/2 請(qǐng)求�����,這將導(dǎo)致過(guò)多的 CPU 使用和內(nèi)存使用�����,最終觸發(fā) DoS 狀態(tài)��。
所有運(yùn)行未打上補(bǔ)丁的 nginx 服務(wù)器都容易受到 DoS 攻擊��。
影響版本:
Nginx nginx 1.14.1
Nginx nginx <1.15.6
修復(fù)方案:
1.升級(jí)Nginx
2.請(qǐng)及時(shí)關(guān)注官方補(bǔ)丁更新:http://nginx.org/