近日，金山云安全应急响应中心监控到外界公布了Nginx漏洞有关的细节信息，这些漏洞若被利用，可导致拒绝服务漏洞。

漏洞编号:

   CVE-2018-16844、CVE-2018-16843

漏洞名称:

   nginx拒绝服务漏洞

漏洞危害等级:

    中危

漏洞描述:

   CVE-2018-16843:

   Nginx 1.15.6之前的版本和1.14.1版本的HTTP/2实现过程中存在安全漏洞。攻击者可利用该漏洞消耗大量的内存空间。

   CVE-2018-16844:

   Nginx 1.15.5之前的版本和1.14.1版本中的HTTP/2实现过程中存在安全漏洞。远程攻击者可通过发送恶意的请求利用该漏洞造成拒绝服务。

       为了利用上述两个漏洞，攻击者可以发送特制的 HTTP/2 请求，这将导致过多的 CPU 使用和内存使用，最终触发 DoS 状态。

所有运行未打上补丁的 nginx 服务器都容易受到 DoS 攻击。

影响版本:

   Nginx nginx 1.14.1

   Nginx nginx <1.15.6

修复方案:

1.升级Nginx

2.请及时关注官方补丁更新：http://nginx.org/