CVE-2018-16845 nginx組件內(nèi)存泄露
2018-11-10 19:46:17
近日���,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到nginx ngx_http_mp4_module組件存在內(nèi)存泄露漏洞���,會(huì)影響 MP4 模塊,使得攻擊者在惡意制作的 MP4 文件的幫助下�,在 worker 進(jìn)程中導(dǎo)致出現(xiàn)無(wú)限循環(huán)��、崩潰或內(nèi)存泄露狀態(tài)����。
漏洞編號(hào)
CVE-2018-16845
漏洞名稱
nginx ngx_http_mp4_module組件內(nèi)存泄露漏洞
漏洞危害等級(jí)
中危
漏洞描述
nginx是一款輕量級(jí)Web服務(wù)器/反向代理服務(wù)器及電子郵件(IMAP/POP3)代理服務(wù)器�。
Nginx 1.15.5及之前的版本和1.14.1版本中的ngx_http_mp4_module組件存在內(nèi)存泄露漏洞,該漏洞源于程序未能正確處理MP4文件��,會(huì)影響運(yùn)行使用 ngx_http_mp4_module 構(gòu)建的 nginx 版本并在配置文件中啟用 mp4 選項(xiàng)的服務(wù)器�����。遠(yuǎn)程攻擊者可利用該漏洞獲取敏感信息或造成拒絕服務(wù)���。
影響版本
Nginx nginx 1.1.3+
Nginx nginx 1.0.7+
Nginx nginx 1.14.1
Nginx nginx <=1.15.5
修復(fù)方案
廠商已發(fā)布漏洞修復(fù)程序�,請(qǐng)及時(shí)關(guān)注更新:http://nginx.org/download/patch.2018.mp4.txt
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2018/11/10