近日有外媒报道称,Nginx被爆出存在安全问题,有可能会导致1400多万台服务器遭受到DoS攻击。导致出现安全隐患的漏洞存在于HTTP/2和MP4模块中。对此,Nginx Web服务器于本周二发布了新版本,用于修复影响1.15.6,1.14.1之前版本的多个安全问题。然而,又发现了一个这样的情况---允许潜在的攻击者触发拒绝服务(DoS)状态并访问敏感的信息。

10

“在Nginx HTTP/2的实验中发现了两个安全问题,这可能导致过多的内存被消耗(CVE-2018-16843)以及提高CPU的使用率(CVE-2018-16844)”,这是来自于Nginx的安全建议。此外,如果在配置文件中使用“listen”指令的“http2”这个选项,那么则会影响使用ngx_http_v2_module编译的nginx。

为了利用上述两个问题,攻击者可以发送特制的HTTP/2请求,这将导致过多的CPU使用和内存使用,最终触发DoS状态。

第三个安全问题是(CVE-2018-16845)会影响MP4模块,使得攻击者在恶意制作的MP4文件的帮助下,在worker进程中导致出现无限循环、崩溃或内存泄露状态。

最后一个安全问题是仅影响运行使用ngx_http_mp4_module构建的nginx版本并在配置文件中启用mp4选项的服务器。

综上所述,HTTP/2漏洞影响1.9.5和1.15.5之间的所有nginx版本,MP4模块安全问题影响运行nginx 1.0.7,1.1.3及更高版本的服务器。

如果想要缓解上述的安全隐患,服务器管理员必须将其nginx升级到1.14.1 stable或者1.15.6主线版本才行。

相关阅读:

当机柜有了思维之后,数据中心的任何问题将无处遁形

为什么一体化机柜会那么的受欢迎?

机柜散热的解决方案来啦!

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-29 18:16:17
整机柜服务器 总金额2.5亿!浪潮信息助力中国移动部署NFV项目
下一代网络转型是运营商发展的必由之路,是需求和技术双驱动的技术。目前,中国移动已经进入转型深水区,浪潮一直致力于为企业数字化转型注入强大计算力。 <详情>
2019-07-25 17:11:56
云资讯 浪潮信息首款面向云计算优化四路服务器设计 NF8260M5通过OCP认证
此外,这款产品还可为云计算用户在 TCO 方面带来可观的收益,从而让用户在性能与成本之间获得理想的平衡,经统计,其硬件成本可减少 7%-12%,运营成本减少 5%-7%。 <详情>
2019-07-24 14:24:00
数据中心节能 数据中心成“能耗巨兽”
与传统能耗单元不同,数据中心24小时“连轴转”,昼夜不停的运行方式势必会增加能耗。数据中心的核心功能在于实现信息集中存储、传输、交换。它的基本单位是服务器,若干服 <详情>
2019-07-23 09:34:19
国内资讯 国内首家智能数据中心电商平台上线 按需定制加速企业快速交付
近日,京东云智能数据中心电商平台上线。京东云智能数据中心电商平台是国内第一家面向IDC领域的电商平台,是提供标准的一体化IDC资源与服务... 近日,京东云智能数据中心电 <详情>
2019-07-22 11:19:14
机房建设 人们需要了解影响数据中心服务器的BlueKeep漏洞
行业专家警告说,目前利用BlueKeep漏洞的攻击仍在持续,全球各地至少有上百万台计算机可能受到攻击。 <详情>