网络&信息安全:nginx漏洞收集(升级至最新版本)

这篇具有很好参考价值的文章主要介绍了网络&信息安全:nginx漏洞收集(升级至最新版本)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。


💖The Begin💖点点关注,收藏不迷路💖

cve-2022-41742,# 网络安全/运维,Linux 专栏,web安全,nginx,安全,nginx升级,运维

一、风险详情

1.1 nginx 越界写入漏洞(CVE-2022-41742)

漏洞名称: nginx 越界写入漏洞(CVE-2022-41742)

风险等级:

高可利用:

CVE编号: CVE-2022-41742

端口(服务): 8000(nginx)

风险描述:

NGINX 在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文件致使 worker 进程出现内存泄露。该问题仅影响启用了 ngx_http_mp4_module 模块(默认不启用)并在配置文件中使用 .mp4 指令的 NGINX。

此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

风险影响: 影响nginx: 1.1.3版本(含)至1.22.0版本(含),1.23.0版本,1.23.1版本,r1版本,r2版本,r22版本(含)至r27版本(含)

解决方案: 升级至最新版本,官方下载链接:https://nginx.org/en/download.html

1.2 nginx 缓冲区错误漏洞(CVE-2022-41741)

漏洞名称: nginx 缓冲区错误漏洞(CVE-2022-41741)【低可信】

风险等级:

高可利用:

CVE编号: CVE-2022-41741

端口(服务): 8000(nginx)

风险描述:

NGINX 在 ngx_http_mp4_module 中有一个漏洞,可能允许攻击者破坏 NGINX。使用特制的 mp4 文件可以损坏 worker 进程(负责流量处理)的内存,导致其终止或潜在的其他影响。该问题仅影响启用了 ngx_http_mp4_module 模块并在配置文件中使用 mp4 指令的 NGINX。

此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

风险影响: 影响nginx: 1.1.3版本(含)至1.22.0版本(含),1.23.0版本,1.23.1版本,r1版本,r2版本,r22版本(含)至r27版本(含)

解决方案: 升级至最新版本,官方下载链接:https://nginx.org/en/download.html

1.3 nginx 拒绝服务漏洞(CNVD-2018-22806)

漏洞名称: nginx拒绝服务漏洞(CNVD-2018-22806)

风险等级:

高可利用:

CVE编号: CNVD-2018-22806

端口(服务): 8000(nginx)

风险描述:

nginx是一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。

Nginx 1.15.5之前的版本和1.14.1版本中的HTTP/2实现过程中存在安全漏洞。远程攻击者可通过发送恶意的请求利用该漏洞造成拒绝服务。

风险影响: Nginx nginx <1.15.5

解决方案: 升级至最新版本,官方下载链接:https://nginx.org/en/download.html

二、nginx升级步骤

参考下面这篇文章进行升级处理:

【关于nginx升级—存在0day漏洞】

cve-2022-41742,# 网络安全/运维,Linux 专栏,web安全,nginx,安全,nginx升级,运维文章来源地址https://www.toymoban.com/news/detail-847516.html


💖The End💖点点关注,收藏不迷路💖

到了这里,关于网络&信息安全:nginx漏洞收集(升级至最新版本)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全信息收集工具

    常用信息收集网址 站长之家: http://whois.chinaz.com Bugscaner: http://whois.bugscaner.com 国外在线: https://bgp.he.net 小蓝本: https://www.xiaolanben.com/pc 企查查: https://www.qichacha.com 天眼查: https://www.tianyancha.com 爱企查: https://aiqicha.baidu.com Amass: https://github.com/OWASP/Amass Subfinder: https://github.com/projec

    2024年01月22日
    浏览(43)
  • 网络安全之信息收集<五>

    信息收集是指通过各种方式获取所需要的信息,以便我们在后续的渗透过程更好的进行。比如目标站点IP、中间件、脚本语言、端口、邮箱等。信息收集包含资产收集但不限于资产收集。 ①信息收集是渗透测试成功的保障; ②更多的暴露面; ③更大的可能性 (1)主动信息收集

    2024年02月21日
    浏览(44)
  • 网络安全-IP地址信息收集

    本文为作者学习文章,按作者习惯写成,如有错误或需要追加内容请留言(不喜勿喷) 本文为追加文章,后期慢慢追加 IP反查域名 http://stool.chinaz.com/same https://tools.ipip.net/ipdomain.php 如果渗透目标为虚拟主机,那么通过IP反查到的域名信息很有价值,因为一台物理服务器上面可

    2024年02月09日
    浏览(42)
  • 网络安全的信息收集方法有哪些?

    网络安全攻击中的信息收集是攻击者为了了解目标系统的弱点、配置、环境和潜在的防御措施而进行的活动。以下是一些常见的信息收集手段: 开放网络资源查询: 使用搜索引擎查找关于目标组织的信息,包括新闻稿、社交媒体帖子、官方网站等。 通过WHOIS查询获取域名注

    2024年01月22日
    浏览(45)
  • 网络安全进阶学习第八课——信息收集

    信息收集(Information Gathering)信息收集是指通过各种方式获取所需要的信息。渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。 目标资产信息搜集的程度,决定渗透过程的复杂程度。 目标主机信息搜集的深度,决定后渗透权限持续把控。 收集信

    2024年02月13日
    浏览(49)
  • 网络安全B模块(笔记详解)- Web信息收集

    1.通过Kali对服务器场景Linux进行Web扫描渗透测试(使用工具nikto,查看该命令的完整帮助文件),并将该操作使用命令中固定不变的字符串作为Flag提交; Flag:nikto -H 2.通过Kali对服务器场景Linux进行Web扫描渗透测试(使用工具nikto,扫描目标服务器8080端口,检测其开放状态),

    2024年01月20日
    浏览(59)
  • 网络安全B模块(笔记详解)- MYSQL信息收集

    1.通过渗透机场景Kali中的渗透测试工具对服务器场景MySQL03进行服务信息扫描渗透测试(使用工具Nmap,使用必须要使用的参数),并将该操作显示结果中数据库版本信息作为Flag提交; Flag:MySQL 5.5.12 2.通过渗透机场景Kali中的渗透测试工具对服务器场景MySQL03的数据库进行暴力破

    2024年01月16日
    浏览(44)
  • 漏洞补丁修复之openssl版本从1.1.1q升级到1.1.1t以及python版本默认2.7.5升级到2.7.18新版本和Nginx版本升级到1.24.0

    ​ 一、Openssl升级 1、查看Openssl安装的版本 2、查看Openssl路径 3、上传openssl安装包到服务器:openssl-1.1.1t.tar.gz,并且解压,安装: make完成图示: 此时版本还是1.1.1q的动态库: 4、更新使用最新版openssl库: 5、重新加载动态链接库

    2024年01月21日
    浏览(48)
  • 网络安全-信息收集- 谷歌浏览器插件收集信息,谷歌hacking搜索语法-带你玩不一样的搜索引擎

    推荐一个cloudss 可以购买国外的服务器做代理 代理文章发不出来因为违反规定 谷歌浏览器有个插件叫做switchsharp,可以自行搜索如何安装与使用,支持一件切换的 比如切换代理,方便某些功能的使用,也可以用来收集信息的哦~ wappalyzer 谷歌商店里面即可找到,就不出教程了

    2023年04月25日
    浏览(91)
  • 网络安全|渗透测试入门学习,从零基础入门到精通—收集信息篇

    目录 前面的话 1、收集域名信息 1.1、Whois查询 ​编辑1.2、备案信息查询  2、收集敏感信息 3、收集子域名信息 3.1、子域名检测工具 3.2、搜索引擎枚举 3.3、第三方聚合应用枚举 3.4、证书透明度公开日志枚举 本章小结 本人喜欢网络完全的一些知识,自学一些。现在写出来和大

    2024年02月08日
    浏览(53)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包