【虚拟补丁】Nginx安全问题易导致DoS攻击

近日Nginx被爆出存在安全问题，可能会导致1400多万台服务器遭受DoS攻击。导致安全问题的漏洞存在于HTTP/2和MP4模块中。

Nginx HTTP/2实现中发现了两个安全漏洞。如果在配置文件中使用listen指令的http2选项，会影响使用ngx_http_v2_module编译的Nginx（默认情况下不编译），可能导致过多的内存消耗（CVE-2018-16843）和CPU使用率（CVE-2018-16844）。

为了利用上述两个漏洞，攻击者可以发送特制的HTTP/2 请求，这将导致过多的CPU使用和内存使用，最终触发DoS状态。所有运行未打上补丁的Nginx服务器都容易受到DoS攻击。

漏洞影响范围：

CVE-2018-16843和CVE-2018-16844影响的版本：Mainline version 1.9.5~1.15.5

CVE-2018-16845影响的版本：Mainline version 1.1.3+、1.0.7+

漏洞危险等级：高危

规则防护：云防火墙虚拟补丁已支持防护

规则类型：DoS攻击

解决办法：关闭http/2请求处理和MP4流媒体支持，将Nginx 升级至1.22.1 stable 最新版本。

操作步骤：

1、查看当前版本信息及配置参数：

sudo /usr/local/nginx/sbin/nginx -V

2、下载安装包：

cd /usr/local/

wget http://nginx.org/download/nginx-1.22.1.tar.gz

tar zxvf nginx-1.22.1.tar.gz

cd nginx-1.22.1

3、编译nginx

./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_v2_module --with-http_stub_status_module

编译nginx，添加http_v2模块应用

编译完成后，执行make，但不执行make install

make

4、备份

将旧版本的nginx二进制文件，重命名一个名字，在这期间，当前运行的nginx进程不会停止，不影响应用运行。

mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx202211013.old

 然后将上一步通过make编译好的新版nginx二进制文件，拷贝到运行目录：

cp ./objs/nginx /usr/local/nginx/sbin/nginx

5、执行更新

在源码目录根目录下（/usr/local/nginx-1.22.1），执行更新安装命令：

make upgrade

注意：如果原来的相关配置文件中，写有和ssl有关的配置信息，需要先暂时注释掉，否则更新时会报错。

6、更新完成

更新完成后，执行：

sudo /usr/local/nginx/sbin/nginx -V

可以看到nginx已经更新到1.22.1版本。

【已被访问：3780 次】

• xpaper融媒体电子报刊软件sp_to_7.4.…
• 历史纸质版报纸数字化加工
• 重磅！《县级融媒体中心建设规范》最新发布
• “迎七一，二十大，增安全”，融媒体产品陆续发布累积…
• 什么是DdoS的攻击？
• 如何避免“高校和政府”网络安全事件的重现？
• 学校网站群平台搭建如何保障数据库“安全”？
• 高校网站群安全运维“规避”措施

转载请以链接形式注明出处:

本篇文章来源于 "金启程科技|xpaper报刊网|蛙盟云平台" ：https://www.jinostart.com/html/comp1/index.shtml

更多技术资讯，请访问公司官网http://www.jinostart.com

xpaper数字报刊系统介绍，请访问http://www.xpaper.net