O nginx é um server HTTP e reverse proxy, um servidor proxy de e-mail e um proxy genérico TCP/UDP. Ele é atualmente utilizado por 25.28% de website em todo o mundo (dados de outubro 2018).
A equipa de desenvolvimento do nginx libertou as versões 1.15.6 e 1.14.1 para corrigir 2 vulnerabilidades HTTP de implementação e que podem causar uma condição DoS nas versões 1.9.5 até 1.15.5 do nginx.
As vulnerabilidades foram identificadas como CVE-2018-16843 e CVE-2018-16844, e podem causar elevado consumo de CPU e memória no servidor que suporta o serviço.
A falha CVE-2018-16844 foi descoberta por Gal Goldshtein da F5 Networks.
Two security issues were identified in nginx HTTP/2 implementation, which might cause excessive memory consumption (CVE-2018-16843) and CPU usage (CVE-2018-16844).” wrotenginx core developer Maxim Dounin.
“The issues affect nginx compiled with the ngx_http_v2_module (not compiled by default) if the “http2” option of the “listen” directive is used in a configuration file.”
No momento da partilha da notícia, utilizando o motor de pesquisa Shodan é possível identificar mais de 1 milhão de servidores a rodar versões unpatched do nginx.
A equipa da nginx também corrigiu uma falha que afetava o módulo ngx_http_mp4_module. A vulnerabilidade foi identificada como CVE-2018-16845 e pode ser explorada por um atacante de forma a crashar o nginx, ou até vazar pedaços de memória do servidor através de um ficheiro MP4 especialmente criado.
“nginx before versions 1.15.6, 1.14.1 has a vulnerability in the ngx_http_mp4_module, which might allow an attacker to cause infinite loop in a worker process, cause a worker process crash, or might result in worker process memory disclosure by using a specially crafted mp4 file.” reads the security advisory published by NVD.
“The issue only affects nginx if it is built with the ngx_http_mp4_module (the module is not built by default) and the .mp4. directive is used in the configuration file. Further, the attack is only possible if an attacker is able to trigger processing of a specially crafted mp4 file with the ngx_http_mp4_module.
A vulnerabilidade identificada como CVE-2018-16845 afeta o ngix desde as versão 1.1.3 e também desde a versão 1.0.7 e superiores. A equipa do nginx remendou as falhas através do lancamento das versões 1.15.6 e 1.14.1