Nginx除提供web服务器的功能外,还可用作负载均衡器及反向代理。作为使用范围最广的web服务器之一,Nginx约为4亿个网站提供支持。nginx所在的NGINX公司已筹资1亿美元,其中包括2018年6月所筹的4300万美元。
Nginx开发者本周宣布,其1.15.6及1.14.1版本已修复HTTP/2协议实现中的漏洞,这些漏洞可导致拒绝服务状态,版本1.9.5至1.15.5皆受其影响。
其中一个编码为“CNNVD-201811-131/CVE-2018-16843”的漏洞可导致内存过度消耗。另一个由F5 网络公司的盖尔•戈德什丁(GalGoldshtein)发现的安全漏洞可导致CPU占用率过高(CNNVD-201811-120/CVE-2018-16844)。
Nginx核心开发员马克西姆•杜宁(Maxim Dounin)解释道,“若在配置文件中使用‘listen’指令的‘http2’选项,这些问题将影响由thengx_http_v2_module模块编译的nginx(默认情况下不编译)。”
使用nginx的网站管理员同样被告知存在影响ngx_http_mp4_module模块的安全漏洞,该模块为MP4媒体文件提供伪流支持。
该编码为“CNNVD-201811-119/CVE-2018-16845”的安全漏洞可允许攻击者通过使用模块处理特别构造的MP4文件,导致工作进程崩溃或内存泄露。
杜宁解释道,“若在配置文件中使用‘mp4’指令,且利用ngx_http_mp4_module进行构建(默认情况下不构建),该问题将只影响nginx。而且,只有当攻击者能够利用ngx_http_mp4_module触发处理特别构造的mp4文件的进程,该攻击才能生效。”
Nginx 1.1.3及其更高版本与1.0.7及其更高版本均受该漏洞影响,而11月6日发布的版本1.15.6及1.14.1中已修复该漏洞。
还没有评论,来说两句吧...