精华内容
下载资源
问答
  • nginx 拒绝服务漏洞(CVE-2016-4450)

    千次阅读 2020-05-28 13:16:22
    nginx 拒绝服务漏洞(CVE-2016-4450) 一、漏洞报告 以上漏洞一般都并发存在,原因是nginx版本问题。受影响的版本有: Nginx Nginx 1.11 Nginx Nginx 1.10 Nginx Nginx 1.9.10 Nginx Nginx 1.9.9 Nginx Nginx 1.8.1 ...

    nginx 拒绝服务漏洞(CVE-2016-4450)

    一、漏洞报告
    你好! 这是你第一次使用 **Markdown编辑器** 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。

    以上漏洞一般都并发存在,原因是nginx版本问题。受影响的版本有:
    Nginx Nginx 1.11
    Nginx Nginx 1.10
    Nginx Nginx 1.9.10
    Nginx Nginx 1.9.9
    Nginx Nginx 1.8.1
    Nginx Nginx 1.3.16
    Nginx Nginx 1.3.15
    Nginx Ngi

    二、修复建议

    http://nginx.org/en/download.html
    下载贴合自己环境的版本号

    Alt

    展开全文
  • 近期关于Nginx报出拒绝服务漏洞的修复方案,官方给出的回复是建议升级为1.14.1稳定版和1.15.6主线版。因此我对公司内部的nginx做了升级。查了一些平滑升级的方案 但是由于各种环境因素导致不太合适。最后自己总结了...

    近期关于Nginx报出拒绝服务漏洞的修复方案,官方给出的回复是建议升级为1.14.1稳定版和1.15.6主线版。因此我对公司内部的nginx做了升级。查了一些平滑升级的方案 但是由于各种环境因素导致不太合适。最后自己总结了一下自己的省级过程:

    1、下载nginx.1.14.1.tar.gz压缩包,下载地址 http://nginx.org/en/download.html

     


    上传压缩包到linux服务器,目录根据自己的环境设置

    1、解压1.14.1.tar.gz
    2、进入nginx-1.14.1目录
    3、./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --without-http-cache --with-http_ssl_module --with-http_gzip_static_module
    4、make 命令编译
    5、修改原版本的nginx的运行文件(备份)---我这里直接改了一下名字加了个后缀,不会影响正在运行的Nginx线程
    6、将nginx-1.14.1/objs/nginx  拷贝到 nginx/sbin下(5操作改名就是避免覆盖)
    7、./nginx -t 试运行  报错[www]   (可能会出现)
    8、修改nginx.conf  将user nobody注释去掉
    9、再次试运行 successful
    10、./nginx -v 查看版本号 确认没问题是1.14.1
    11、kill或停止原nginx的线程,停止的话需要用原Nginx运行文件停止,直接Kill掉比较方便
    12、启动nginx ---这里启动的是新的nginx运行文件

    以上均是个人升级过程,基本适用于所有的linux版本

    展开全文
  • 漏洞描述:漏洞存在于ngx_http_v2_module模块之中(默认情况下不编译,编译时需要开启--with-http_v2_module,同时将listen http2添加到配置文件中),当用户添加http2支持时,攻击者可以发送特制的HTTP/2请求,可能...

    漏洞描述:漏洞存在于ngx_http_v2_module模块之中(默认情况下不编译,编译时需要开启--with-http_v2_module,同时将listen http2添加到配置文件中),当用户添加http2支持时,攻击者可以发送特制的HTTP/2请求,可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844),最终导致服务器DoS。

    方案一: 升级至Nginx最新安全版本(1.15.6或1.14.1),官方下载链接:http://nginx.org/en/download.html

    方案二: 针对CVE-2018-16843和CVE-2018-16844漏洞,可采取禁用HTTP/2协议(可能导致服务不可用),使用到HTTP/2协议的配置类似如下: server { listen 443 ssl http2 default_server; ... }

    http://mailman.nginx.org/pipermail/nginx-announce/2018/000220.html

    展开全文
  • Nginx 远程安全漏洞

    2013-05-15 09:34:00
    Nginx 远程安全漏洞 CNNVD编号: CNNVD-201305-235 发布时间: 2013-05-14 更新时间: 2013-05-14 危害等级: 漏洞类型: 威胁类型: 远程 CVE编号: CVE-2013-2070 ...

    漏洞名称:Nginx 远程安全漏洞
    CNNVD编号:CNNVD-201305-235
    发布时间:2013-05-14
    更新时间:2013-05-14
    危害等级:  
    漏洞类型: 
    威胁类型:远程
    CVE编号:CVE-2013-2070

    nginx是一款由俄罗斯程序员Igor Sysoev所开发轻量级的网页服务器、反向代理服务器以及电子邮件(IMAP/POP3)代理服务器。 
            Nginx中存在远程安全漏洞。攻击者可利用该漏洞造成拒绝服务或获得敏感信息。

    目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: 
            http://nginx.org/

    来源: BID 
    名称: 59824 
    链接:http://www.securityfocus.com/bid/59824

    转载于:https://www.cnblogs.com/security4399/archive/2013/05/15/3079190.html

    展开全文
  • 根据漏洞扫描的提示查看官网给出的解释,如下:SWEET32 Mitigation (CVE-2016-2183)SWEET32 (https://sweet32.info) is an attack on older block cipher algorithms that use a block size of 64 bits. In ...
  • 原标题:漏洞预警 | Nginx range过滤器模块存在远程信息泄露漏洞(CVE-2017-7529)Nginx是一款使用非常广泛的高性能Web服务器。Nginx的range过滤器模块中存在安全漏洞,特制的请求可能触发整数溢出,导致泄露敏感信息...
  • Nginx拒绝服务漏洞主要影响版本为1.10.3之前的版本,为不影响原有nginx的使用,且为避免修改其它配置文件,可以通过编译nginx最新版本的执行文件去替换旧的执行文件,文中的场景为由nginx1.8.0版本平滑升级到...
  • Nginx实战(十)Nginx漏洞修复

    千次阅读 2019-02-07 15:45:49
    文章目录本章导读本章要点Nginx HTTP/2和mp4模块拒绝服务漏洞描述解决方案解释Clickjacking(点击劫持)描述解决方案nginx的解决方法加了x-frame-options后如何验证Nginx range filter模块数字错误漏洞(CVE-2017-...
  • nginx漏洞升级:Nginx 1.16.1

    千次阅读 2020-08-15 15:18:24
    nginx 安全漏洞(CVE-2019-9511) nginx 安全漏洞(CVE-2019-9513) nginx 安全漏洞(CVE-2019-9516) 受影响版本:Nginx 1.9.51 至 16.0版本及1.17.2. 按照建议升级到:Nginx 1.16.1,下载地址:...
  • 解析漏洞格式:/test.jpg/test.php服务器接收到此参数时,由于php.ini文件设置问题和nginx特性会按照php文件进行且不检查文件是否存在就进行解析。 复现环境 Nginx1.11.5+php25.2.17 解析漏洞复现 在网站根目录...
  • nginx解析漏洞复现

    2019-10-03 10:00:13
    nginx解析漏洞复现 一、漏洞描述 该漏洞nginx、php版本无关,属于用户配置不当造成的解析漏洞 二、漏洞原理 1、 由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理,为此可以构造...
  • 5月9日消息:国内某安全厂商称HTTP代理服务器nginx爆出远程栈缓冲区溢出漏洞,攻击者利用此漏洞可能造成栈溢出,从而执行任意代码,最低限度可造成拒绝服务攻击。目前,官方已经发布安全公告以及相应补丁,提醒广大...
  • nginx 安全漏洞处理

    2011-12-06 19:16:24
    早就知道nginx有安全漏洞,一直没放在心上,今天抽空做了一个测试,果真非常危险,请用nginx 构建服务器的朋友要一定小心了,不采取防范措施将会造成严重的安全隐患。 2010年5月23日14:00前阅读本文的朋友,请按...
  • Nginx中的解析漏洞

    万次阅读 2018-03-08 09:47:57
    百度一番,又谷歌一番,最终只找到了三个已公开的、关于Nginx的解析漏洞,记录如下。Nginx中php配置错误导致的解析漏洞利用方式: /test.jpg/test.php 测试:首先准备文件test.jpg,内容为: <?php phpinfo()...
  • Nginx1.3.9-1.4.0DOS(拒绝服务)验证

    万次阅读 2013-06-21 14:10:52
    最近开始推动公司的安全工作,发现公司使用的nginx版本直接暴露给外网,我建议让运维人员伪装或者隐藏服务器版本,遭到拒绝,无奈之下只好提供一份暴露版本号会存在问题的实例。  找了几个版本的漏洞,最新的是...
  • 目录漏洞扫描结果漏洞扫描缓慢的HTTP拒绝服务攻击漏洞等级:中修改建议Nginx 修复建议具体nginx配置文件WebSphere 修复建议Weblogic 修复建议Apache 修复建议IHS服务器F5负载均衡修复建议IIS服务器 漏洞扫描结果 ...
  • 平滑升级Nginx到新版本v1.12.1修复Nginx最新漏洞CVE-2017-7529的解决方案2017年7月11日,Nginx官方发布了一个新的安全漏洞公告(漏洞编号:CVE-2017-7529),该漏洞nginx的range过滤器的整数溢出漏洞,远程攻击者...
  • 文件解析漏洞总结-Nginx

    万次阅读 2017-08-18 22:01:47
    与Apache相比,Nginx算是后起之秀,但大有赶超之势。百度一番,又谷歌一番,最终只找到了三个已公开的、关于Nginx的解析漏洞,记录如下
  • OpenSSL被曝存在一个影响广泛的远程匿名拒绝服务漏洞漏洞名称: “OpenSSL红色警戒”漏洞(SSL Death Alert) 漏洞编号: CVE-2016-8610 漏洞类型: 远程匿名拒绝服务漏洞 漏洞描述: 在...
  • Nginx DNS解析程序漏洞 (CVE-2021-23017)问题解决
  • Nginx出现过的漏洞 IIS IIS出现过的漏洞 Weblogic Weblogic出现过的漏洞 Weblogic常识 JBoss JBoss出现过的漏洞 JBoss常识 Web服务器是Web应用的载体,如果这个载体出现安全问题,那么运行在其中的web...
  • 2.HTTP拒绝服务攻击漏洞介绍 3.HTTP拒绝服务攻击漏洞验证 (1)验证工具:slowhttptest (2)使用示例 (3)漏洞验证 4.漏洞修复 (1)Tomcat中间件 (2)Apache中间件 (3)Nginx中间件 (4)Weblogic...
  • 绿盟漏洞升级nginx

    2020-09-02 10:02:56
    Nginx 11月6日的安全更新中,修补了三个可导致拒绝服务漏洞:CVE-2018-16843,CVE-2018-16844和CVE-2018-16845。位于nginx HTTP/2 模块和流媒体MP4模块。 CVE-2018-16843,CVE-2018-16844漏洞存在于ngx_http_v2模块...
  • 本文用于解决问题: OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)【原理扫描】。 需升级 OpenSSL、nginx 静态源码包 解决。 1、相关下载地址: //openssl官方下载地址 ...
  • 漏洞版本: Apache Group Apache HTTP Server < 2.4.9 漏洞描述: BUGTRAQ ID: 66303 CVE ID: CVE-2013-6438,CVE-2014-0098 Apache HTTP Server是开源HTTP服务器。 Apache HTTP Server 2.4.7, ...
  • [root@nginx ~]# openssl version -a OpenSSL 1.0.1e-fips 11 Feb 2013 built on: Wed Mar 22 21:43:28 UTC 2017 platform: linux-x86_64 options: bn(64,64) md2(int) rc4(16x,int) des(...
  • OpenSSL 1.1.0、1.0.2版本,若使用递归过度的恶意输入,构造的ASN.1类型可造成栈溢出,导致拒绝服务攻击。 openssl版本信息:执行openssl version获取: OpenSSL 1.0.2g 1 Mar 2016 漏洞处理 1、升级方案,官方声明...
  • 安全部门漏扫发现,某业务主机当前版本的nginx存在nginx 安全漏洞(CVE-2021-23017)风险,需要升级到最新版本的nginx,而本环境业务泡在Docker vm上,因此需要对原生的nginx版本升级和docker中的nginx版本都进行升级...
  • 最近放开了https服务,安全组扫描出新的漏洞,现对原OpenSSL 1.0.1g版本升级到OpenSSL 1.1.0k,同时重新编译OpenSSH及nginx,在此提供升级脚本,仅供参考

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 3,521
精华内容 1,408
热门标签
关键字:

nginx拒绝服务漏洞