网络&信息安全:nginx漏洞收集(升级至最新版本)
💖The Begin💖点点关注,收藏不迷路💖
一、风险详情
1.1 nginx 越界写入漏洞(CVE-2022-41742)
**
漏洞名称:
** nginx 越界写入漏洞(CVE-2022-41742)
**
风险等级:
** 高
**
高可利用:
** 否
**
CVE编号:
** CVE-2022-41742
**
端口(服务):
** 8000(nginx)
**
风险描述:
**
NGINX 在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文件致使 worker 进程出现内存泄露。该问题仅影响启用了 ngx_http_mp4_module 模块(默认不启用)并在配置文件中使用 .mp4 指令的 NGINX。
此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。
**
风险影响:
** 影响nginx: 1.1.3版本(含)至1.22.0版本(含),1.23.0版本,1.23.1版本,r1版本,r2版本,r22版本(含)至r27版本(含)
**
解决方案:
** 升级至最新版本,官方下载链接:https://nginx.org/en/download.html
1.2 nginx 缓冲区错误漏洞(CVE-2022-41741)
**
漏洞名称:
** nginx 缓冲区错误漏洞(CVE-2022-41741)【低可信】
**
风险等级:
** 高
**
高可利用:
** 否
**
CVE编号:
** CVE-2022-41741
**
端口(服务):
** 8000(nginx)
**
风险描述:
**
NGINX 在 ngx_http_mp4_module 中有一个漏洞,可能允许攻击者破坏 NGINX。使用特制的 mp4 文件可以损坏 worker 进程(负责流量处理)的内存,导致其终止或潜在的其他影响。该问题仅影响启用了 ngx_http_mp4_module 模块并在配置文件中使用 mp4 指令的 NGINX。
此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。
**
风险影响:
** 影响nginx: 1.1.3版本(含)至1.22.0版本(含),1.23.0版本,1.23.1版本,r1版本,r2版本,r22版本(含)至r27版本(含)
**
解决方案:
** 升级至最新版本,官方下载链接:https://nginx.org/en/download.html
1.3 nginx 拒绝服务漏洞(CNVD-2018-22806)
**
漏洞名称:
** nginx拒绝服务漏洞(CNVD-2018-22806)
**
风险等级:
** 中
**
高可利用:
** 否
**
CVE编号:
** CNVD-2018-22806
**
端口(服务):
** 8000(nginx)
**
风险描述:
**
nginx是一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。
Nginx 1.15.5之前的版本和1.14.1版本中的HTTP/2实现过程中存在安全漏洞。远程攻击者可通过发送恶意的请求利用该漏洞造成拒绝服务。
**
风险影响:
** Nginx nginx <1.15.5
**
解决方案:
** 升级至最新版本,官方下载链接:https://nginx.org/en/download.html
二、nginx升级步骤
参考下面这篇文章进行升级处理:
【关于nginx升级—存在0day漏洞】
💖The End💖点点关注,收藏不迷路💖
版权归原作者 运维魔法师 所有, 如有侵权,请联系我们删除。