??The Begin??點點關(guān)注,收藏不迷路??
|
一、風險詳情
1.1 nginx 越界寫入漏洞(CVE-2022-41742)
漏洞名稱:
nginx 越界寫入漏洞(CVE-2022-41742)
風險等級:
高
高可利用:
否
CVE編號:
CVE-2022-41742
端口(服務):
8000(nginx)
風險描述:
NGINX 在 ngx_http_mp4_module 中存在漏洞,這可能允許攻擊者激發(fā) worker 進程的崩潰,或者通過使用特制的 mp4 文件致使 worker 進程出現(xiàn)內(nèi)存泄露。該問題僅影響啟用了 ngx_http_mp4_module 模塊(默認不啟用)并在配置文件中使用 .mp4 指令的 NGINX。
此外,只有當攻擊者能夠觸發(fā)使用 ngx_http_mp4_module 對特制 mp4 文件的進行處理時,攻擊才有可能成功。
風險影響:
影響nginx: 1.1.3版本(含)至1.22.0版本(含),1.23.0版本,1.23.1版本,r1版本,r2版本,r22版本(含)至r27版本(含)
解決方案:
升級至最新版本,官方下載鏈接:https://nginx.org/en/download.html
1.2 nginx 緩沖區(qū)錯誤漏洞(CVE-2022-41741)
漏洞名稱:
nginx 緩沖區(qū)錯誤漏洞(CVE-2022-41741)【低可信】
風險等級:
高
高可利用:
否
CVE編號:
CVE-2022-41741
端口(服務):
8000(nginx)
風險描述:
NGINX 在 ngx_http_mp4_module 中有一個漏洞,可能允許攻擊者破壞 NGINX。使用特制的 mp4 文件可以損壞 worker 進程(負責流量處理)的內(nèi)存,導致其終止或潛在的其他影響。該問題僅影響啟用了 ngx_http_mp4_module 模塊并在配置文件中使用 mp4 指令的 NGINX。
此外,只有當攻擊者能夠觸發(fā)使用 ngx_http_mp4_module 對特制 mp4 文件的進行處理時,攻擊才有可能成功。
風險影響:
影響nginx: 1.1.3版本(含)至1.22.0版本(含),1.23.0版本,1.23.1版本,r1版本,r2版本,r22版本(含)至r27版本(含)
解決方案:
升級至最新版本,官方下載鏈接:https://nginx.org/en/download.html
1.3 nginx 拒絕服務漏洞(CNVD-2018-22806)
漏洞名稱:
nginx拒絕服務漏洞(CNVD-2018-22806)
風險等級:
中
高可利用:
否
CVE編號:
CNVD-2018-22806
端口(服務):
8000(nginx)
風險描述:
nginx是一款輕量級Web服務器/反向代理服務器及電子郵件(IMAP/POP3)代理服務器。
Nginx 1.15.5之前的版本和1.14.1版本中的HTTP/2實現(xiàn)過程中存在安全漏洞。遠程攻擊者可通過發(fā)送惡意的請求利用該漏洞造成拒絕服務。
風險影響:
Nginx nginx <1.15.5
解決方案:
升級至最新版本,官方下載鏈接:https://nginx.org/en/download.html
二、nginx升級步驟
參考下面這篇文章進行升級處理:
【關(guān)于nginx升級—存在0day漏洞】文章來源:http://www.zghlxwxcb.cn/news/detail-847516.html
文章來源地址http://www.zghlxwxcb.cn/news/detail-847516.html
??The End??點點關(guān)注,收藏不迷路??
|
到了這里,關(guān)于網(wǎng)絡&信息安全:nginx漏洞收集(升級至最新版本)的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!