网络&信息安全:nginx漏洞收集(升级至最新版本)

网络&信息安全:nginx漏洞收集(升级至最新版本)


💖The Begin💖点点关注,收藏不迷路💖

一、风险详情

1.1 nginx 越界写入漏洞(CVE-2022-41742)

漏洞名称: nginx 越界写入漏洞(CVE-2022-41742)

风险等级:

高可利用:

CVE编号: CVE-2022-41742

端口(服务): 8000(nginx)

风险描述:

NGINX 在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文件致使 worker 进程出现内存泄露。该问题仅影响启用了 ngx_http_mp4_module 模块(默认不启用)并在配置文件中使用 .mp4 指令的 NGINX。

此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

风险影响: 影响nginx: 1.1.3版本(含)至1.22.0版本(含),1.23.0版本,1.23.1版本,r1版本,r2版本,r22版本(含)至r27版本(含)

解决方案: 升级至最新版本,官方下载链接:https://nginx.org/en/download.html

1.2 nginx 缓冲区错误漏洞(CVE-2022-41741)

漏洞名称: nginx 缓冲区错误漏洞(CVE-2022-41741)【低可信】

风险等级:

高可利用:

CVE编号: CVE-2022-41741

端口(服务): 8000(nginx)

风险描述:

NGINX 在 ngx_http_mp4_module 中有一个漏洞,可能允许攻击者破坏 NGINX。使用特制的 mp4 文件可以损坏 worker 进程(负责流量处理)的内存,导致其终止或潜在的其他影响。该问题仅影响启用了 ngx_http_mp4_module 模块并在配置文件中使用 mp4 指令的 NGINX。

此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

风险影响: 影响nginx: 1.1.3版本(含)至1.22.0版本(含),1.23.0版本,1.23.1版本,r1版本,r2版本,r22版本(含)至r27版本(含)

解决方案: 升级至最新版本,官方下载链接:https://nginx.org/en/download.html

1.3 nginx 拒绝服务漏洞(***VD-2018-22806)

漏洞名称: nginx拒绝服务漏洞(***VD-2018-22806)

风险等级:

高可利用:

CVE编号: ***VD-2018-22806

端口(服务): 8000(nginx)

风险描述:

nginx是一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。

Nginx 1.15.5之前的版本和1.14.1版本中的HTTP/2实现过程中存在安全漏洞。远程攻击者可通过发送恶意的请求利用该漏洞造成拒绝服务。

风险影响: Nginx nginx <1.15.5

解决方案: 升级至最新版本,官方下载链接:https://nginx.org/en/download.html

二、nginx升级步骤

参考下面这篇文章进行升级处理:

【关于nginx升级—存在0day漏洞】


💖The End💖点点关注,收藏不迷路💖
转载请说明出处内容投诉
CSS教程_站长资源网 » 网络&信息安全:nginx漏洞收集(升级至最新版本)

发表评论

欢迎 访客 发表评论

一个令你着迷的主题!

查看演示 官网购买