吉林集安市建设局网站hao123浏览器
网络&信息安全:nginx漏洞收集(升级至最新版本)
- 一、风险详情
- 1.1 nginx 越界写入漏洞(CVE-2022-41742)
- 1.2 nginx 缓冲区错误漏洞(CVE-2022-41741)
- 1.3 nginx 拒绝服务漏洞(CNVD-2018-22806)
- 二、nginx升级步骤
| 💖The Begin💖点点关注,收藏不迷路💖 |
一、风险详情
1.1 nginx 越界写入漏洞(CVE-2022-41742)
漏洞名称: nginx 越界写入漏洞(CVE-2022-41742)
风险等级: 高
高可利用: 否
CVE编号: CVE-2022-41742
端口(服务): 8000(nginx)
风险描述:
NGINX 在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文件致使 worker 进程出现内存泄露。该问题仅影响启用了 ngx_http_mp4_module 模块(默认不启用)并在配置文件中使用 .mp4 指令的 NGINX。
此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。
风险影响: 影响nginx: 1.1.3版本(含)至1.22.0版本(含),1.23.0版本,1.23.1版本,r1版本,r2版本,r22版本(含)至r27版本(含)
解决方案: 升级至最新版本,官方下载链接:https://nginx.org/en/download.html
1.2 nginx 缓冲区错误漏洞(CVE-2022-41741)
漏洞名称: nginx 缓冲区错误漏洞(CVE-2022-41741)【低可信】
风险等级: 高
高可利用: 否
CVE编号: CVE-2022-41741
端口(服务): 8000(nginx)
风险描述:
NGINX 在 ngx_http_mp4_module 中有一个漏洞,可能允许攻击者破坏 NGINX。使用特制的 mp4 文件可以损坏 worker 进程(负责流量处理)的内存,导致其终止或潜在的其他影响。该问题仅影响启用了 ngx_http_mp4_module 模块并在配置文件中使用 mp4 指令的 NGINX。
此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。
风险影响: 影响nginx: 1.1.3版本(含)至1.22.0版本(含),1.23.0版本,1.23.1版本,r1版本,r2版本,r22版本(含)至r27版本(含)
解决方案: 升级至最新版本,官方下载链接:https://nginx.org/en/download.html
1.3 nginx 拒绝服务漏洞(CNVD-2018-22806)
漏洞名称: nginx拒绝服务漏洞(CNVD-2018-22806)
风险等级: 中
高可利用: 否
CVE编号: CNVD-2018-22806
端口(服务): 8000(nginx)
风险描述:
nginx是一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。
Nginx 1.15.5之前的版本和1.14.1版本中的HTTP/2实现过程中存在安全漏洞。远程攻击者可通过发送恶意的请求利用该漏洞造成拒绝服务。
风险影响: Nginx nginx <1.15.5
解决方案: 升级至最新版本,官方下载链接:https://nginx.org/en/download.html
二、nginx升级步骤
参考下面这篇文章进行升级处理:
【关于nginx升级—存在0day漏洞】
| 💖The End💖点点关注,收藏不迷路💖 |