尊敬的腾讯云客户,您好: 近日,腾讯云安全中心监测到 Nginx 被曝存在拒绝服务漏洞(漏洞编号:CVE-2018-16843/CVE-2018-16844/CVE-2018-16845),攻击者可利用该漏洞进行拒绝服务攻击,从而造成资源耗尽,服务不可用。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
CVE-2018-16843/CVE-2018-16844:ngx_http_v2_module模块HTTP/2实现存在漏洞,从而引起内存和CPU消耗问题,nginx 默认不启用该模块,启用该模块的服务将会受影响。
CVE-2018-16845:ngx_http_mp4_module模块存在漏洞,攻击者可构造特定的mp4文件引起进程崩溃或内存泄露,nginx 默认不启用该模块,启用该模块的服务将会受影响。
【风险等级】
中风险
【漏洞风险】
拒绝服务
【影响版本】
目前已知受影响版本如下:
CVE-2018-16843/CVE-2018-16844 影响版本:nginx 1.9.5 - 1.15.5.
CVE-2018-16845 影响版本:nginx 1.1.3+, 1.0.7+.
【安全版本】
CVE-2018-16843/CVE-2018-16844 安全版本:nginx 1.15.6, 1.14.1.
CVE-2018-16845 安全版本:nginx 1.15.6, 1.14.1.
【修复建议】
【漏洞参考】
2018-11-12