【YINGSOO提示】文章部分內(nèi)容來源網(wǎng)絡(luò)，不代表本站觀點(diǎn)！若有了解“nginx安全問題致使1400多萬臺(tái)服務(wù)器易遭受dos攻擊”等有關(guān)服務(wù)器、云主機(jī)租用、托管、配置、價(jià)格問題，請(qǐng)咨詢YINGSOO客服，獲取最新優(yōu)惠！

　　【熱門產(chǎn)品】日本高防服務(wù)器特價(jià) | 日本CN2服務(wù)器特價(jià) | 香港物理服務(wù)器特價(jià)

　　【原創(chuàng)內(nèi)容】德國服務(wù)器怎么樣？德國服務(wù)器怎么選？

　　據(jù)外媒報(bào)道，近日 nginx 被爆出存在安全問題，有可能會(huì)致使 1400 多萬臺(tái)服務(wù)器易遭受 dos 攻擊。而導(dǎo)致安全問題的漏洞存在于 Http/2 和 mp4 模塊中。

　　nginx web 服務(wù)器于11月6日發(fā)布了新版本，用于修復(fù)影響 1.15.6, 1.14.1 之前版本的多個(gè)安全問題，被發(fā)現(xiàn)的安全問題有一種這樣的情況 —— 允許潛在的攻擊者觸發(fā)拒絕服務(wù)(dos)狀態(tài)并訪問敏感的信息。

　　“在 nginx Http/2 實(shí)現(xiàn)中發(fā)現(xiàn)了兩個(gè)安全問題，這可能導(dǎo)致過多的內(nèi)存消耗(cVe-2018-16843)和cpU使用率(cVe-2018-16844)”，詳見 nginx 的安全建議。

　　此外，“如果在配置文件中使用"listen"指令的"http2"選項(xiàng)，則問題會(huì)影響使用 ngx_http_v2_module 編譯的 nginx（默認(rèn)情況下不編譯）?！?/p>

　　為了利用上述兩個(gè)問題，攻擊者可以發(fā)送特制的 Http/2 請(qǐng)求，這將導(dǎo)致過多的cpU使用和內(nèi)存使用，最終觸發(fā) dos 狀態(tài)。

　　所有運(yùn)行未打上補(bǔ)丁的 nginx 服務(wù)器都容易受到 dos 攻擊。

　　第三個(gè)安全問題(cVe-2018-16845)會(huì)影響 mp4 模塊，使得攻擊者在惡意制作的 mp4 文件的幫助下，在worker 進(jìn)程中導(dǎo)致出現(xiàn)無限循環(huán)、崩潰或內(nèi)存泄露狀態(tài)。

　　最后一個(gè)安全問題僅影響運(yùn)行使用 ngx_http_mp4_module 構(gòu)建的 nginx 版本并在配置文件中啟用 mp4 選項(xiàng)的服務(wù)器。

　　總的來說，Http/2漏洞影響 1.9.5 和 1.15.5 之間的所有 nginx 版本，mp4 模塊安全問題影響運(yùn)行 nginx 1.0.7, 1.1.3 及更高版本的服務(wù)器。

　　為緩解這兩個(gè)安全問題，服務(wù)器管理員必須將其 nginx 升級(jí)到 1.14.1 stable 或1.15.6 主線版本。

　　目前，shodan 搜索顯示超過 1400 萬臺(tái)服務(wù)器運(yùn)行未包含修復(fù)補(bǔ)丁的 nginx 版本（更確切地說是 14,036,690 臺(tái)），僅有 6992 臺(tái)服務(wù)器打上了安全補(bǔ)丁。

　　YINGSOO的海外高防服務(wù)器產(chǎn)品線，覆蓋了美國、香港、韓國、日本四大節(jié)點(diǎn)，機(jī)房配備200G NP萬M防火墻集群設(shè)備+黑洞牽引防火墻，確保機(jī)房網(wǎng)絡(luò)安全，官網(wǎng)可以直接購買100G以內(nèi)的本地清洗配置，如需更大的防御配置可以咨詢客服小姐姐（YINGSOO Ann - 客服企業(yè)QQ：1708453677）

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。