更新时间:2026-01-28 11:01:04
开发经验
26据外媒报道,nginx近期被曝出安全问题,这可能使超过1400万台服务器容易受到DoS攻击。导致安全问题的漏洞存在于HTTP/2和MP4模块中。
Nginx Web 服务器的新版本于11 月6 日发布,修复了影响1.15.6 和1.14.1 之前版本的多个安全问题。该漏洞允许潜在攻击者触发拒绝服务(DoS) 状态并可能访问敏感信息。
Nginx是一个在BSD协议下发布的开源“HTTP和反向代理服务器、邮件代理服务器、通用TCP/UDP代理服务器”。此外,根据Netcraft 数据,2018 年10 月,nginx 为25.28% 的最繁忙网站提供服务。以下是一些成功的例子:Dropbox、Netflix、Wordpress.com、FastMail.FM。 ”
“在nginx HTTP/2 实现中发现了两个安全问题,这可能导致内存消耗过多(CVE-2018-16843) 和CPU 使用率(CVE-2018-16844)。 “有关详细信息,请参阅nginx 的安全建议。
此外,“如果配置文件中使用了“listen”指令的“http2”选项,则该问题会影响使用ngx_http_v2_module(默认情况下不编译)编译的nginx。 ”
为了利用上述两个问题,攻击者可以发送特制的HTTP/2 请求,这会导致CPU 使用率和内存使用率过高,最终触发DoS 状态。
所有运行未修补版本的nginx 的服务器都容易受到DoS 攻击。第三个安全问题(CVE-2018-16845) 影响MP4 模块,允许攻击者借助恶意制作的MP4 文件在工作进程中造成无限循环、崩溃或内存泄漏情况。
安全问题仅影响运行使用ngx_http_mp4_module 构建并在配置文件中启用mp4 选项的nginx 版本的服务器。此外,只有当攻击者还设法触发恶意MP4 文件的处理时,该问题才会影响服务器。
虽然HTTP/2 漏洞影响1.9.5 到1.15.5 之间的所有nginx 版本,但MP4 模块安全问题影响运行nginx 1.0.7 及更高版本以及nginx 1.1.3 或更高版本的服务器。
为了缓解这两个问题,服务器管理员必须将其nginx 安装更新到1.14.1 stable 或1.15.6 mainline。
目前,Shodan 快速搜索显示,有超过1400 万台服务器运行未打补丁的nginx 版本(准确地说是14036690 台),而只有6992 台服务器打了补丁。
我们专注高端建站,小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验,每一个项目承诺做到满意为止,多一次对比,一定让您多一份收获!
