Nginx安全问题引起1400多一万台服务器很容易DoS攻击

时间: 2018-11-11 14:21:15 作者: 管理员

据外国媒体报道,最近nginx披露安全问题,可能会导致1400多一万台服务器很容易DoS攻击。导致安全漏洞存在于HTTP / 2和MP4模块。Nginx服务器11月6日发布了新版本,用于修复影响1.15.6 1.14.1以前版本的多种安全问题,安全问题,可以发现有一个情况——让一个潜在的攻击者引起拒绝服务(DoS)地位和对敏感信息的访问。

“nginx HTTP / 2实现发现两个安全问题,这可能会导致过度的内存消耗(CVE - 2018 - 16843)和CPU使用率(CVE - 2018 - 16844)”,请参阅nginx安全建议。

此外,“如果在配置文件中使用“听“指令”http2”选项,问题会影响使用编译器ngx_http_v2_module nginx(默认情况下不编译)。”

利用上述两个问题,一个攻击者可以发送特殊的HTTP / 2请求,这将导致过多的CPU使用率和内存使用量,最终引发DoS模式。

所有nginx服务器补丁操作不容易DoS攻击。

第三个安全问题(CVE - 2018 - 16845)将影响MP4模块,使攻击者恶意制造MP4文件,工作进程的帮助下会导致无限循环,崩溃或内存泄漏。

最后安全问题影响只使用ngx_http_mp4_module构建运行nginx版本和配置文件服务器中启用mp4选项。

总的来说,HTTP / 2洞影响所有1.9.5与1.15.5 nginx的版本,MP4模块安全问题运行nginx 1.0.7 1.1.3和更高版本的服务器。

缓解这两个安全问题,服务器管理员必须nginx升级1.14.1稳定或1.15.6主线版本。

现在Shodan搜索显示,超过1400万台服务器运行不包含修复nginx版本(更具体地说,14036690),只有6992台服务器安全补丁。