Nginx 漏洞（CVE-2018-16843，CVE-2018-16844）

最新推荐文章于 2025-07-01 09:58:13 发布

转载最新推荐文章于 2025-07-01 09:58:13 发布 · 4.8k 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://blog.51cto.com/falconfei/2315598

文章标签：

#运维 #操作系统

近日 nginx 被爆出存在安全问题，有可能会致使 1400 多万台服务器易遭受 DoS ***。而导致安全问题的漏洞存在于 HTTP/2 和 MP4 模块中。

nginx Web 服务器于 11 月 6 日发布了新版本，用于修复影响 1.15.6, 1.14.1 之前版本的多个安全问题，被发现的安全问题有一种这样的情况 —— 允许潜在的***者触发拒绝服务 (DoS) 状态并访问敏感的信息。

升级修复方法：
1、创建nginx的yum源文件（/etc/yum.repos.d/nginx.repo），内容如下（根据系统版本修改对应的版本号，我这里是centos6）:

[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/centos/6/$basearch/
gpgcheck=0
enabled=1

2、执行更新操作
yum -y update nginx

3、验证更新
nginx -V

显示为：
nginx version: nginx/1.14.1

转载于:https://blog.51cto.com/falconfei/2315598

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_33950035

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

nginx平滑升级nginx升级解决漏洞CVE-2024-7347

m0_74824877的博客

12-30

1473

如果没有看到 Nginx 进程在运行，说明 Nginx 可能没有启动或者已经意外停止了。这里的配置选项可以根据你的实际需求进行调整。如果在 1.23.3 版本中有自定义的模块或配置，可以在这个步骤中添加相应的选项以确保新的版本也包含这些功能。笔者服务器 nginx 目前是nginx-1.23.3 安装在/usr/local/nginx。如果启动成功，Nginx 会自动创建一个新的 pid 文件，其中包含正确的进程 ID。下载 Nginx 1.27.2 安装包，可以从 Nginx 官方网站下载。

nginx平滑升级|nginx升级|解决漏洞CVE-2024-7347

一介码夫

10-15

4731

这里的配置选项可以根据你的实际需求进行调整。如果在 1.23.3 版本中有自定义的模块或配置，可以在这个步骤中添加相应的选项以确保新的版本也包含这些功能。笔者服务器 nginx 目前是nginx-1.23.3 安装在/usr/local/nginx。下载 Nginx 1.27.2 安装包，可以从 Nginx 官方网站下载。此次版本为1.27.2 需要保留原来配置。文章内容参考:豆包ai。

参与评论您还未登录，请先登录后发表或查看评论

nginx-1.10.3

08-28

nginx-1.10.3

Nginx 安全漏洞【CVE-2018-16843、CVE-2018-16844】解决办法

adanjeep的博客

11-01

4208

Nginx 安全漏洞【CVE-2018-16843、CVE-2018-16844】解决办法

Nginx Web安全漏洞问题解决：Web服务器HTTP头信息公开以及Web服务器错误页面信息泄露

最新发布

2401_85688943的博客

07-01

701

这些配置文件的路径取决于nginx的配置，可能位于/etc/nginx目录下，也可能位于其他的目录下，可以通过搜索的方式查找。👉2.网安入门到进阶视频教程👈 很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。1、每个漏洞的个数有四个，就是对应漏洞详情中的4个端口 2、产品使用Nginx提供的服务，Nginx通过虚拟机方式以不同端口提供服务。👉1.成长路线图&学习规划👈 要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

nginx HTTP2 Flood漏洞分析（CVE-2018-16843，CVE-2018-16844）

朝夕闻道

11-11

8141

2018年11月6日，http://nginx.org/公布了两个安全公告，涉及到HTTP/2和MP4两个模块。 2018-11-06 nginx-1.14.1stable andnginx-1.15.6mainline versions have been released, with fixes forvulnerabilities in HTTP/2(CVE-20...

解决Nginx安全漏洞【CVE-2018-16844、CVE-2019-9511、CVE-2021-3618、CVE-2018-16843、CVE-2021-23017】等问题

weixin_44554055的博客

04-27

1299

Nginx安全漏洞升级方案

解决 Nginx CVE-2018-16843 CVE-2018-16844 CVE-2018-16845 CVE-2017-7529 平滑升级到nginx1.14.1

qq_25934401的博客

11-14

1万+

详细情况请参看： Nginx敏感信息泄露漏洞 (CVE-2017-7529) 分析目前可以修复的方案有三条 1.受影响的版本nginx 0.5.6 - 1.13.2全版本，所以升级到大于1.13.2 就可以解决敏感信息泄露的问题。 2.临时解决方案，在nginx.conf 中配置max_ranges 1 ; 对下载大文件，断点续传会有影响，请酌情使用。 3.使用第三方安全软件进行防御。升...

Nginx越界读取缓存漏洞 CVE-2017-7529

03-13

Nginx在反向代理站点的时候，通常会将一些文件进行缓存，特别是静态文件。缓存的部分存储在文件中，每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件，则Nginx会直接将...

打破基于OpenResty的WEB安全防护（CVE-2018-9230）1

08-03

《OpenResty WEB安全防护漏洞详解：CVE-2018-9230》 OpenResty，作为一款基于Nginx与Lua的高性能Web平台，被广泛应用于构建复杂、高并发的Web服务。然而，它也并非无懈可击。在2018年，一个名为CVE-2018-9230的安全...

打破基于openresty的WEB安全防护（CVE-2018-9230）.pdf

12-21

【OpenResty安全防护漏洞详解：CVE-2018-9230】 OpenResty是一个强大的基于Nginx和Lua的Web平台，广泛应用于构建高性能的Web服务。然而，该平台存在一个安全漏洞，被称为CVE-2018-9230，它允许远程攻击者绕过基于...

Nginx解析漏洞测试

09-19

Nginx是一款高性能的web服务器，使用非常广泛，其不仅经常被用作反向代理，也可以非常好的支持PHP的运行。默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析，这将导致严重的安全问题，使得恶意的攻击者可能攻陷支持php的nginx服务器。

nginx1.4.0漏洞验证

06-21

测试用到的python文件和linux版本的nginx1.4.0源码

关于nginx升级的一些处理(Nginx拒绝服务漏洞(CVE-2018-16843...))

qq_15703497的博客

11-13

9813

近期关于Nginx报出拒绝服务漏洞的修复方案，官方给出的回复是建议升级为1.14.1稳定版和1.15.6主线版。因此我对公司内部的nginx做了升级。查了一些平滑升级的方案但是由于各种环境因素导致不太合适。最后自己总结了一下自己的省级过程： 1、下载nginx.1.14.1.tar.gz压缩包，下载地址 http://nginx.org/en/download.html 上传压缩包到...

【安全预警】关于 Nginx 多个模块安全漏洞的通知

u013195691的博客

11-14

1546

近日，腾讯云安全中心监测到 Nginx 被曝存在拒绝服务漏洞（漏洞编号：CVE-2018-16843/CVE-2018-16844/CVE-2018-16845），攻击者可利用该漏洞进行拒绝服务攻击，从而造成资源耗尽，服务不可用。为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。【漏洞详情】 CVE-2018-16...

Nginx漏洞总结

热门推荐

weixin_42345596的博客

10-08

2万+

Nginx简介 Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器，同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布，因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日，nginx 1.0.4发布。 Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器，在BSD-like 协议下发行。其特点是占有内存少，并发能力强，事实上nginx的并发能力在同类型的网页服务器中表现较

Nginx漏洞—解析漏洞、配置不当和(CVE-2013-4547)

今天也要加油鸭

03-06

6862

CVE-2013-4547是Nginx目录跨越及代码执行漏洞，也被成为文件名逻辑漏洞。涉及版本：Nginx 0.8.41~1.4.3 / 1.5.0&amp;amp;amp;amp;amp;lt;=1.5.7 漏洞原理：这个漏洞虽然也被称为代码执行漏洞，但跟代码执行没有太大关系，主要是由于非法的字符空格和截止符（\0）导致Nginx解析URI时的有限状态机混乱，攻击者通过一个非编码的空格绕过后缀名限制，导致出现权限绕过，代码执行等影...

linux nginx漏洞修复,nginx-1.14.1 和 nginx-1.15.6 发布，修复HTTP/2和MP4模块中的漏洞

weixin_27605509的博客

05-15

2132

nginx-1.14.1 稳定版和nginx-1.15.6主线版本已经发布，修复了HTTP/2(CVE-2018-16843，CVE-2018-16844)和MP4模块(CVE-2018-16845)中的漏洞。nginx 1.14.1更改*)安全性：使用HTTP/2时，客户端可能会导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)。*)安全性：使用ng...

nginx 漏洞cve-2021-3618

01-23

### Nginx CVE-2021-3618 漏洞详情 Nginx中的HTTP模块存在缓冲区错误，当处理特定的`Range`请求头时可能导致越界读取。攻击者可以利用这个漏洞来获取敏感信息或造成服务拒绝。具体来说，在某些配置下，如果服务器...

Nginx 漏洞 （CVE-2018-16843，CVE-2018-16844）

Nginx 漏洞（CVE-2018-16843，CVE-2018-16844）