“在Nginx HTTP/2的實(shí)驗(yàn)中發(fā)現(xiàn)了兩個(gè)安全問題,這可能導(dǎo)致過多的內(nèi)存被消耗(CVE-2018-16843)以及提高CPU的使用率(CVE-2018-16844)”,這是來自于Nginx的安全建議。此外,如果在配置文件中使用“listen”指令的“http2”這個(gè)選項(xiàng),那么則會(huì)影響使用ngx_http_v2_module編譯的nginx。
為了利用上述兩個(gè)問題,攻擊者可以發(fā)送特制的HTTP/2請(qǐng)求,這將導(dǎo)致過多的CPU使用和內(nèi)存使用,最終觸發(fā)DoS狀態(tài)。
第三個(gè)安全問題是(CVE-2018-16845)會(huì)影響MP4模塊,使得攻擊者在惡意制作的MP4文件的幫助下,在worker進(jìn)程中導(dǎo)致出現(xiàn)無限循環(huán)、崩潰或內(nèi)存泄露狀態(tài)。
最后一個(gè)安全問題是僅影響運(yùn)行使用ngx_http_mp4_module構(gòu)建的nginx版本并在配置文件中啟用mp4選項(xiàng)的服務(wù)器。
綜上所述,HTTP/2漏洞影響1.9.5和1.15.5之間的所有nginx版本,MP4模塊安全問題影響運(yùn)行nginx 1.0.7,1.1.3及更高版本的服務(wù)器。
如果想要緩解上述的安全隱患,服務(wù)器管理員必須將其nginx升級(jí)到1.14.1 stable或者1.15.6主線版本才行。
