Nginx開源web伺服器軟體本週釋出更新，修復多個拒絕服務（DoS）漏洞

Nginx除提供web伺服器的功能外，還可用作負載均衡器及反向代理。作為使用範圍最廣的web伺服器之一，Nginx約為4億個網站提供支援。nginx所在的NGINX公司已籌資1億美元，其中包括2018年6月所籌的4300萬美元。  

Nginx開發者本週宣佈，其1.15.6及1.14.1版本已修復HTTP/2協議實現中的漏洞，這些漏洞可導致拒絕服務狀態，版本1.9.5至1.15.5皆受其影響。  

其中一個編碼為“CVE-2018-16843”的漏洞可導致記憶體過度消耗。另一個由F5 網路公司的蓋爾·戈德什丁（GalGoldshtein）發現的安全漏洞可導致CPU佔用率過高（CVE-2018-16844）。

Nginx核心開發員馬克西姆·杜寧（Maxim Dounin）解釋道，“若在配置檔案中使用‘listen’指令的‘http2’選項，這些問題將影響由thengx_http_v2_module模組編譯的nginx（預設情況下不編譯）。”

使用nginx的網站管理員同樣被告知存在影響ngx_http_mp4_module模組的安全漏洞，該模組為MP4媒體檔案提供偽流支援。

該編碼為“CVE-2018-16845”的安全漏洞可允許攻擊者通過使用模組處理特別構造的MP4檔案， 導致工作程序崩潰或記憶體洩露 。  

杜寧解釋道，“若在配置檔案中使用‘mp4’指令，且利用ngx_http_mp4_module進行構建（預設情況下不構建），該問題將隻影響nginx。而且，只有當攻擊者能夠利用ngx_http_mp4_module觸發處理特別構造的mp4檔案的程序，該攻擊才能生效。”

Nginx 1.1.3及其更高版本與1.0.7及其更高版本均受該漏洞影響， 而11月6日釋出的版本1.15.6及1.14.1中已修復該漏洞 。

E安全注：本文系E安全獨家編譯報道，轉載請聯絡授權，並保留出處與連結，不得刪減內容。聯絡方式：① 微信號j871798128②郵箱[email protected]

@E安全，最專業的前沿網路安全媒體和產業服務平臺，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全入口網站戶網站戶網站www.easyaq.com , 查 , 查 , 檢視更多精彩內容。