第160期安全事件


英文标题 Nginx server security flaws expose more than a million of servers to DoS attacks
中文标题 Nginx 修补了 Web 服务器多个拒绝服务漏洞
作者及单位 Pierluigi Paganini
内容概述
Nginx 开发团队发布了版本 1.15.6 和 1.14.1,解决了两个 HTTP/2 实现漏洞。这些漏洞可能导致 Nginx 版本 1.9.5 到 1.15.5 受到 DoS 攻击。其中 CVE-2018-16843 会导致过多的内存消耗,CVE-2018-16844 则会导致过多的 CPU 使用率。 Nginx 团队还修复了影响 ngx_http_mp4_module 模块的漏洞 CVE-2018-16845,攻击者可利用该漏洞通过让模块处理特制 的 MP4 文件导致工作进程崩溃或内存泄漏。该漏洞影响 nginx 1.1.3 及更高版本以及 1.0.7 及更高版本。
新闻链接
https://securityaffairs.co/wordpress/77866/hacking/nginx-server-dos-flaws.html