摘要：近日有外媒報(bào)道稱(chēng)，被爆出存在安全問(wèn)題，有可能會(huì)導(dǎo)致多萬(wàn)臺(tái)服務(wù)器遭受到攻擊。最后一個(gè)安全問(wèn)題是僅影響運(yùn)行使用構(gòu)建的版本并在配置文件中啟用選項(xiàng)的服務(wù)器。綜上所述，漏洞影響和之間的所有版本，模塊安全問(wèn)題影響運(yùn)行，及更高版本的服務(wù)器。

近日有外媒報(bào)道稱(chēng)，Nginx被爆出存在安全問(wèn)題，有可能會(huì)導(dǎo)致1400多萬(wàn)臺(tái)服務(wù)器遭受到DoS攻擊。導(dǎo)致出現(xiàn)安全隱患的漏洞存在于HTTP／2 和 MP4模塊中。對(duì)此，Nginx Web服務(wù)器于本周二發(fā)布了新版本，用于修復(fù)影響 1．15．6， 1．14．1 之前版本的多個(gè)安全問(wèn)題。然而，又發(fā)現(xiàn)了一個(gè)這樣的情況－－－允許潛在的攻擊者觸發(fā)拒絕服務(wù)（DoS）狀態(tài)并訪(fǎng)問(wèn)敏感的信息。

“在Nginx HTTP／2的實(shí)驗(yàn)中發(fā)現(xiàn)了兩個(gè)安全問(wèn)題，這可能導(dǎo)致過(guò)多的內(nèi)存被消耗（CVE－2018－16843）以及提高CPU的使用率（CVE－2018－16844）”，這是來(lái)自于Nginx的安全建議。此外，如果在配置文件中使用“l(fā)isten”指令的“http2”這個(gè)選項(xiàng)，那么則會(huì)影響使用ngx＿h(yuǎn)ttp＿v2＿module編譯的nginx。

為了利用上述兩個(gè)問(wèn)題，攻擊者可以發(fā)送特制的HTTP／2請(qǐng)求，這將導(dǎo)致過(guò)多的CPU使用和內(nèi)存使用，最終觸發(fā)DoS狀態(tài)。

第三個(gè)安全問(wèn)題是（CVE－2018－16845）會(huì)影響MP4模塊，使得攻擊者在惡意制作的MP4文件的幫助下，在worker進(jìn)程中導(dǎo)致出現(xiàn)無(wú)限循環(huán)、崩潰或內(nèi)存泄露狀態(tài)。

最后一個(gè)安全問(wèn)題是僅影響運(yùn)行使用ngx＿h(yuǎn)ttp＿mp4＿module構(gòu)建的nginx版本并在配置文件中啟用mp4選項(xiàng)的服務(wù)器。

綜上所述，HTTP／2漏洞影響1．9．5和1．15．5之間的所有nginx版本，MP4模塊安全問(wèn)題影響運(yùn)行nginx 1．0．7， 1．1．3及更高版本的服務(wù)器。

如果想要緩解上述的安全隱患，服務(wù)器管理員必須將其nginx升級(jí)到1．14．1 stable或者1．15．6主線(xiàn)版本才行。