腾讯云公告 > 公告详情
扫码查看公告

【安全预警】关于 Nginx 多个模块安全漏洞的通知

尊敬的腾讯云客户,您好:
  近日,腾讯云安全中心监测到 Nginx 被曝存在拒绝服务漏洞(漏洞编号:CVE-2018-16843/CVE-2018-16844/CVE-2018-16845),攻击者可利用该漏洞进行拒绝服务攻击,从而造成资源耗尽,服务不可用。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
 
【漏洞详情】
   CVE-2018-16843/CVE-2018-16844:ngx_http_v2_module模块HTTP/2实现存在漏洞,从而引起内存和CPU消耗问题,nginx 默认不启用该模块,启用该模块的服务将会受影响。
   CVE-2018-16845:ngx_http_mp4_module模块存在漏洞,攻击者可构造特定的mp4文件引起进程崩溃或内存泄露,nginx 默认不启用该模块,启用该模块的服务将会受影响。
 
【风险等级】
   中风险
 
【漏洞风险】
   拒绝服务
 
【影响版本】
   目前已知受影响版本如下:
   CVE-2018-16843/CVE-2018-16844 影响版本:nginx 1.9.5 - 1.15.5.
   CVE-2018-16845 影响版本:nginx 1.1.3+, 1.0.7+.
 
【安全版本】
   CVE-2018-16843/CVE-2018-16844 安全版本:nginx 1.15.6, 1.14.1.
   CVE-2018-16845 安全版本:nginx 1.15.6, 1.14.1.
 
【修复建议】
   建议您参照上述【安全版本】升级到对应的最新版本(目前最新版本下载链接:http://nginx.org/en/download.html )
 
【漏洞参考】
  1)ngx_http_mp4_module 模块DOS漏洞:http://mailman.nginx.org/pipermail/nginx-announce/2018/000221.html
  2)ngx_http_v2_module 模块内存消耗问题:http://mailman.nginx.org/pipermail/nginx-announce/2018/000220.html
  3)ngx_http_v2_module 模块CPU消耗问题:http://mailman.nginx.org/pipermail/nginx-announce/2018/000219.html


img

2018-11-12