バージョン1.15.6および1.14.1より前のnginxでは、HTTP/2の実装に脆弱性があります。これにより、過剰なメモリ消費を引き起こされる可能性があります。この問題は、構成ファイルで「listen」ディレクティブの「http2」オプションが使用されている場合に、ngx_http_v2_moduleモジュール付きでコンパイルされた（デフォルトでコンパイルされたのではない）nginxが影響を受けます。（CVE-2018-16843）バージョン1.15.6および1.14.1より前のnginxでは、HTTP/2の実装に脆弱性があります。これにより、過剰なCPU使用率が引き起こされる可能性があります。この問題は、構成ファイルで「listen」ディレクティブの「http2」オプションが使用されている場合に、ngx_http_v2_moduleモジュール付きでコンパイルされた（デフォルトでコンパイルされたのではない）nginxが影響を受けます。（CVE-2018-16844）

検出

Amazon Linux AMI：nginx（ALAS-2018-1125）

high Nessus プラグイン ID 119688

バージョン 1.3