IT業界資訊媒體

【server大災難】Nginx 漏洞致 1400 萬台伺服器受 DoS 攻擊

Nginx(發音同 engine x)是一個免費、開源、高性能的 Web 伺服器軟件,可用作反向代理、負載平衡器和 HTTP 緩衝記憶體。目前為全球近 4 億個網站提供支持,包括 WordPressAdobeNASA、騰訊、淘寶等。

該軟件近日被爆出有三個嚴重漏洞,可能令 1400 萬台伺服器受到 DoS 攻擊(阻斷服務攻擊,Denial-of-service attack),攻擊者觸發漏洞後可訪問伺服器內重要資料。

兩個漏洞分別可致 memory 過度消耗(CVE-2018-16843)及 CPU 過高佔用率(CVE-2018-16844),攻擊者發送特製的 HTTP/2 request,就可能爆 memory 從而觸發 DoS

而第三個 CVE-2018-16845 漏洞會影響 MP4 Module,攻擊者使用偽造的惡意 MP4 文件,就可令 process 崩潰或 memory 洩露。

Nginx 目前已經發佈最新版本 1.15.6 1.14.1 修復三個漏洞。但根據 Shodan 搜尋顯示,受影響的 1400 萬台伺服器中,僅有 7000 台伺服器及時 update,剩低嘅 1300 萬台伺服器仍然危在旦夕,記得儘快 update

資料來源:https://bit.ly/2OEuXY2