秦安网警关于Nginx web服务器存在安全漏洞的预警通报

北京网络与信息安全信息通报中心通报，近日Nginx官方发布三个安全公告，即：CVE-2018-16843、CVE-2018-16844、CVE-2018-16845，上述漏洞可导致服务器遭受DoS攻击。

一、基本情况

三个漏洞主要是通过发送特制的HTTP/2请求或制作恶意的MP4 文件，造成过多的CPU使用和内存使用，致使内存泄漏和系统崩溃，最终导致服务器宕机，形成DoS攻击。

二、 影响范围

HTTP/2 安全问题影响Nginx 1.9.5至Nginx 1.15.5之间的所有版本；MP4模块安全问题则影响Nginx 1.0.7, 1.1.3及更高版本。

三、网络安全提示

针对该情况，Nginx服务器官方现已发布更新版本，用于修复上述安全问题，请及时升级系统版本。Nginx-1.14.1 stable 稳定版和Nginx-1.15.6主线版本已经官方发布，修复了HTTP/2模块安全问题（CVE-2018-16843，CVE-2018-16844）和MP4模块（CVE-2018-16845）中的安全问题。