【風險通告】nginx存在兩處拒絕服務(wù)漏洞
2018-11-12 12:06:47
近日���,金山云安全應急響應中心監(jiān)控到外界公布了Nginx漏洞有關(guān)的細節(jié)信息�,這些漏洞若被利用����,可導致拒絕服務(wù)漏洞����。
漏洞編號:
CVE-2018-16844、CVE-2018-16843
漏洞名稱:
nginx拒絕服務(wù)漏洞
漏洞危害等級:
中危
漏洞描述:
CVE-2018-16843:
Nginx 1.15.6之前的版本和1.14.1版本的HTTP/2實現(xiàn)過程中存在安全漏洞�。攻擊者可利用該漏洞消耗大量的內(nèi)存空間����。
CVE-2018-16844:
Nginx 1.15.5之前的版本和1.14.1版本中的HTTP/2實現(xiàn)過程中存在安全漏洞����。遠程攻擊者可通過發(fā)送惡意的請求利用該漏洞造成拒絕服務(wù)�。
為了利用上述兩個漏洞����,攻擊者可以發(fā)送特制的 HTTP/2 請求,這將導致過多的 CPU 使用和內(nèi)存使用����,最終觸發(fā) DoS 狀態(tài)。
所有運行未打上補丁的 nginx 服務(wù)器都容易受到 DoS 攻擊�。
影響版本:
Nginx nginx 1.14.1
Nginx nginx <1.15.6
修復方案:
1.升級Nginx
2.請及時關(guān)注官方補丁更新:http://nginx.org/