近日Nginx被爆出存在安全问题,可能会导致1400多万台服务器遭受DoS攻击。导致安全问题的漏洞存在于HTTP/2和MP4模块中。
Nginx HTTP/2实现中发现了两个安全漏洞。如果在配置文件中使用listen指令的http2选项,会影响使用ngx_http_v2_module编译的Nginx(默认情况下不编译),可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)。
为了利用上述两个漏洞,攻击者可以发送特制的HTTP/2 请求,这将导致过多的CPU使用和内存使用,最终触发DoS状态。所有运行未打上补丁的Nginx服务器都容易受到DoS攻击。
漏洞影响范围:
CVE-2018-16843和CVE-2018-16844影响的版本:Mainline version 1.9.5~1.15.5
CVE-2018-16845影响的版本:Mainline version 1.1.3+、1.0.7+
漏洞危险等级:高危
规则防护:云防火墙虚拟补丁已支持防护
规则类型:DoS攻击
解决办法:关闭http/2请求处理和MP4流媒体支持,将Nginx 升级至1.22.1 stable 最新版本。
操作步骤:
1、查看当前版本信息及配置参数:
sudo /usr/local/nginx/sbin/nginx -V
2、下载安装包:
cd /usr/local/
wget http://nginx.org/download/nginx-1.22.1.tar.gz
tar zxvf nginx-1.22.1.tar.gz
cd nginx-1.22.1
3、编译nginx
./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_v2_module --with-http_stub_status_module
编译nginx,添加http_v2模块应用
编译完成后,执行make,但不执行make install
make
4、备份
将旧版本的nginx二进制文件,重命名一个名字,在这期间,当前运行的nginx进程不会停止,不影响应用运行。
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx202211013.old
然后将上一步通过make编译好的新版nginx二进制文件,拷贝到运行目录:
cp ./objs/nginx /usr/local/nginx/sbin/nginx
5、执行更新
在源码目录根目录下(/usr/local/nginx-1.22.1),执行更新安装命令:
make upgrade
注意:如果原来的相关配置文件中,写有和ssl有关的配置信息,需要先暂时注释掉,否则更新时会报错。
6、更新完成
更新完成后,执行:
sudo /usr/local/nginx/sbin/nginx -V
可以看到nginx已经更新到1.22.1版本。
【已被访问:7577 次】
相关阅读:转载请以链接形式注明出处:
本篇文章来源于 "金启程科技|xpaper报刊网|蛙盟云平台" :https://www.jinostart.com/html/comp1/index.shtml
更多技术资讯,请访问公司官网http://www.jinostart.com
xpaper数字报刊系统介绍,请访问http://www.xpaper.net
Xpaper数字报报刊云&蛙盟云 版权与免责声明:
① 凡本网注明“来源:xpaper&蛙盟云”的所有作品,版权均属于xpaper软件版权归金启程科技所有,未经本网授权不得转载、摘编或利用其它方式使用上述作品。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:金启程科技&蛙盟云”。违反上述声明者,本网将追究其相关法律责任。
② 凡本网注明“来源:XXX(非xpaper&蛙盟云)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
③ 本网部分内容来自互联网,如因作品内容、版权和其它问题需要同本网联系的,请在30日内进行。
※ 联系方式:xpaper数字报报刊云&蛙盟云运营中心 Email:jinostart@126.com
这里汇聚上千家案例企业遍及全国多个省市,涉及多个行业,签约数百+,发布数万期报纸或杂志,入库大量基础数据
数字报系统|数字报刊系统|电子杂志软件|数字报纸|电子报系统|网上看报系统|电子杂志系统|在线看报纸软件|高校数字报|企业内刊数字化|传统报纸数字化|公司内刊数字化|电子杂志系统|