nginx Web 服务器于11月6日发布了新版本,用于修复影响 1.15.6, 1.14.1 之前版本的多个安全问题,被发现的安全问题有一种这样的情况 —— 允许潜在的攻击者触发拒绝服务(DoS)状态并访问敏感的信息。
“在 nginx HTTP/2 实现中发现了两个安全问题,这可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)”,详见 nginx 的安全建议。
此外,“如果在配置文件中使用"listen"指令的"http2"选项,则问题会影响使用 ngx_http_v2_module 编译的 nginx(默认情况下不编译)。”
为了利用上述两个问题,攻击者可以发送特制的 HTTP/2 请求,这将导致过多的CPU使用和内存使用,最终触发 DoS 状态。
使用宝塔面板时,可以直接对nginx进行升级,具体步骤如下(以当前版本5.9为例)
1.进入宝塔面板
2.软件管理
3.选择nginx(默认当前为nginx1.12)
4.选择切换版本,下拉框选择nginx1.14(或者nginx1.15),点击切换按钮,选择编译安装或者极速安装,提交即可
安装完成即可升级到 nginx/1.14.1 或者 nginx/1.15.6
Nginx 1.14.1 稳定版和 Nginx 1.15.6 主线版已发布,主要修复了 HTTP/2 (CVE-2018-16843,CVE-2018-16844)以及 MP4 模块(CVE-2018-16845)中的漏洞,具体如下:
Nginx 1.14.1
Security: 在使用 HTTP/2 时可能导致客户端内存消耗过大 (CVE-2018-16843),CPU 使用率过高 (CVE-2018-16844);
Security: 使用 ngx_http_mp4_module 处理特制的 mp4 文件可能导致工作进程内存泄露(CVE-2018-16845);
Bugfix: 使用 gRPC 后端可能会导致内存过度消耗。
Nginx 1.15.6 在 1.14.1 的基础上额外包含:
Feature: the "proxy_socket_keepalive", "fastcgi_socket_keepalive","grpc_socket_keepalive", "memcached_socket_keepalive", "scgi_socket_keepalive", and "uwsgi_socket_keepalive" directives.
Bugfix: if nginx was built with OpenSSL 1.1.0 and used with OpenSSL 1.1.1, the TLS 1.3 protocol was always enabled.
发行说明和下载地址:http://nginx.org/en/download.html
原文链接:https://www.qiquanji.com/post/7771.html
本站声明:网站内容来源于网络,如有侵权,请联系我们,我们将及时处理。
微信扫码关注
更新实时通知