Nginx လုံခြုံရေးအားနည်းချက်များနှင့် ပတ်သက်၍ သတိပေးချက်

nginx

(က) နောက်ခံ သမိုင်း

Nginx သည် အခမဲ့ပေးထားသော၊ open-source ဖြစ်သော၊ စွမ်းရည်မြင့် web server ဖြစ်ပြီး Dropbox, Netflix နှင့် Wordpresss.com အပါအဝင် ဆိုက်ပေါင်း ၁၄ သန်းကျော်က ၎င်းကို အသုံးပြုထားကြပါသည်။
Nginx က လုံခြုံရေးအားနည်းချက်(၃)ခုအား ကြေညာလိုက်ပြီး ၎င်းအားနည်းချက်များက ဝန်ဆောင်မှုအား ရပ်တန့်စေရန်နှင့် ဒေတာများအား ခိုးယူနိုင်စေပါသည်။

(၁) ngx_http_v2_module တွင် ဖြစ်ပေါ်လျက်ရှိသော လုံခြုံရေးအားနည်းချက်များ ဖြစ်ကြသည့် CVE-2018-16843 နှင့် CVE-2018-16844 တို့သည် တိုက်ခိုက်သူအား အဖျက်အမှောင့် Web request များကို ပို့စေနိုင်ကာ မှတ်ဉာဏ်သုံးစွဲမှုနှင့် CPU သုံးစွဲမှုတို့ကို မြင့်တက်စေပြီး ဆာဗာ၏ ဝန်ဆောင်မှုအား ရပ်တန့်စေနိုင်ပါသည်။

(၂) CVE-2018-16845 သည် ngx_http_mp4_module ဖြစ်ပြီး အဖျက်အမှောင့်ကုဒ်များပါသော mp4 ဖိုင်အား ဖတ်ရှုရာ၌ server အား ရပ်တန့်စေနိုင်ခြင်းနှင့် မှတ်ဉာဏ်ထဲမှ ဒေတာများ ပါသွားခြင်းမျိုး ဖြစ်စေနိုင်ပါသည်။

(ခ) တိုက်ခိုက်ခံရနိုင်သော Version များ

အောက်ပါ version များတွင် လုံခြုံရေးအားနည်းချက်များ ရှိနေပါသည်-
(၁) Nginx 1.1.3 နှင့် အထက်၊
(၂) Nginx 1.0.7 နှင့် အထက်၊
(၃) Nginx 1.95 မှ 1.15.5 ထိ။

လက်ရှိတွင် ဆာဗာပေါင်း (၁၄,၀၃၆,၆၉၀) သည် လုံခြုံရေးအားနည်းချက်ကို မပြင်ဆင်ရသေးဘဲ ဆာဗာအရေအတွက် ၆၉၉၂ ကသာ အားနည်းချက်အား ပြင်ဆင်ပြီး ဖြစ်ပါသည်။

(ဂ) ထိခိုက်နိုင်မှု

ထိုလုံခြုံရေးအားနည်းချက်များကို အသုံးပြုတိုက်ခိုက်လျှင် တိုက်ခိုက်သူအနေဖြင့် ဆာဗာအား ရပ်တန့်စေရန် စွမ်းဆောင်နိုင်သကဲ့သို့ အချို့သော အရေးကြီးသော သတင်းအချက်အလက်များကို မှတ်ဉာဏ်မှတဆင့် ရရှိသွားစေနိုင်ပါသည်။ 
(ဃ) အကြံပြုချက်

System Administrator များနှင့် Website ပိုင်ရှင်များအနေဖြင့် တိုက်ခိုက်ခံရနိုင်သော Nginx ဆော့ဖ်ဝဲလ်အား နောက်ဆုံး version ဖြစ်သော Nginx 1.14.1 (Stabel Version) သို့မဟုတ် Nginx 1.15.6 သို့ အဆင့်မြှင့်တင်သင့်ပါကြောင်း သတိပေးနှိုးဆော်အပ်ပါသည်။