原文链接：https://nginx.org/en/security_advisories.html

发现任何 nginx 安全问题，可以通过邮件的方式发送至 security-alert@nginx.org

所有的补丁都使用这些 PGP 公钥之一进行了签名。

• ngx_http_mp4_module内存损坏

严重性：中

公告

CVE-2022-41741

不影响版本: 1.23.2+, 1.22.1+

影响版本: 1.1.3-1.23.1, 1.0.7-1.0.15

补丁 pgp

• ngx_http_mp4_module内存泄露  

严重性：中

公告  

CVE-2022-41742  

不影响版本: 1.23.2+, 1.22.1+  

影响版本: 1.1.3-1.23.1, 1.0.7-1.0.15  

补丁 pgp

• 解析器中 1 字节内存覆盖  

严重性：中  

公告  

CVE-2021-23017

不影响版本: 1.21.0+, 1.20.1+

影响版本: 0.6.18-1.20.0  

补丁 pgp

• 在HTTP/2中使用小窗口更新时CPU使用率过高

严重性：中  

公告

CVE-2019-9511  

不影响版本: 1.17.3+, 1.16.1+  

影响版本: 1.9.5-1.17.2

• 在HTTP/2中优先级变化引起CPU占用率过高  

严重性：低  

公告  

CVE-2019-9513  

不影响版本: 1.17.3+, 1.16.1+

影响版本: 1.9.5-1.17.2

• 在HTTP/2中使用零报头长度时内存使用过多  

严重性：低  

公告  

CVE-2019-9516  

不影响版本: 1.17.3+, 1.16.1+

影响版本: 1.9.5-1.17.2

• HTTP/2中内存占用过多

严重性：低

公告

CVE-2018-16843

不影响版本: 1.15.6+, 1.14.1+

影响版本: 1.9.5-1.15.5

• HTTP/2协议下CPU占用率过高

严重性：低

公告

CVE-2018-16844

不影响版本: 1.15.6+, 1.14.1+

影响版本: 1.9.5-1.15.5

• 在ngx_http_mp4_module中有内存泄露漏洞

严重性：中

公告

CVE-2018-16845

不影响版本: 1.15.6+, 1.14.1+

影响版本: 1.1.3-1.15.5, 1.0.7-1.0.15

补丁 pgp

• 范围过滤器中整数溢出

严重性：中

公告

CVE-2017-7529

不影响版本: 1.13.3+, 1.12.1+

影响版本: 0.5.6-1.13.2

补丁 pgp

• 写入客户端请求体时，空指针解引用

公告

CVE-2016-4450

不影响版本: 1.11.1+, 1.10.1+

影响版本: 1.3.9-1.11.0

补丁 pgp (for 1.9.13-1.11.0)

补丁 pgp (for 1.3.9-1.9.12)

• 解析器中无效的指针解引用

严重性：中

公告

CVE-2016-0742

不影响版本: 1.9.10+, 1.8.1+

影响版本: 0.6.18-1.9.9

• 在解析器中处理CNAME响应时用Use-after-free模式

严重性：中

公告

CVE-2016-0746

不影响版本: 1.9.10+, 1.8.1+

影响版本: 0.6.18-1.9.9

• 解析器中CNAME解析限制不足

严重性：中

公告

CVE-2016-0747

不影响版本: 1.9.10+, 1.8.1+

影响版本: 0.6.18-1.9.9

• SSL会话重用漏洞

严重性：中

公告

CVE-2014-3616

不影响版本: 1.7.5+, 1.6.2+

影响版本:: 0.5.6-1.7.4

• starttls命令注入

严重性：中  

公告

CVE-2014-3556  

不影响版本: 1.7.4+, 1.6.1+  

影响版本: 1.5.6-1.7.3  

补丁 pgp

• SPDY缓冲区溢出  

严重性：高  

公告  

CVE-2014-0133  

不影响版本: 1.5.12+, 1.4.7+  

影响版本: 1.3.15-1.5.11  

补丁 pgp

• spdy内存损坏  

严重性：高  

公告  

CVE-2014-0088  

不影响版本: 1.5.11+  

影响版本: 1.5.10  

补丁 pgp

• 请求行解析漏洞  

严重性：中  

公告

CVE-2013-4547  

不影响版本: 1.5.7+, 1.4.4+  

影响版本: 0.8.41-1.5.6  

补丁  pgp

• 使用特制的HTTP后端响应内存泄露  

严重性：中  

公告  

CVE-2013-2070  

不影响版本: 1.5.0+, 1.4.1+, 1.2.9+  

影响版本: 1.1.4-1.2.8, 1.3.9-1.4.0  

补丁  pgp (for 1.3.9-1.4.0)  

补丁 pgp (for 1.1.4-1.2.8)

• 带有特制请求的基于堆栈的缓冲区溢出  

严重性：高  

公告  

CVE-2013-2028  

不影响版本: 1.5.0+, 1.4.1+  

影响版本: 1.3.9-1.4.0  

补丁 pgp

• Windows目录别名的漏洞  

严重性：中  

公告

CVE-2011-4963

不影响版本: 1.3.1+, 1.2.1+  

影响版本: nginx/Windows 0.7.52-1.3.0

• ngx_http_mp4_module中的缓冲区溢出  

严重性：高危

公告

CVE-2012-2089  

不影响版本: 1.1.19+, 1.0.15+  

影响版本: 1.1.3-1.1.18, 1.0.7-1.0.14  

补丁 pgp

• 带有特制后端响应的内存泄露  

严重性：高  

公告  

CVE-2012-1180  

不影响版本: 1.1.17+, 1.0.14+  

影响版本: 0.1.0-1.1.16  

补丁 pgp

• 解析器中缓冲区溢出  

严重性：中  

CVE-2011-4315  

不影响版本: 1.1.8+, 1.0.10+  

影响版本: 0.6.18-1.1.7

• Windows上无效的UTF-8序列漏洞  

严重性：高  

CVE-2010-2266

不影响版本: 0.8.41+, 0.7.67+  

影响版本: nginx/Windows 0.7.52-0.8.40

• Windows文件默认流的漏洞

严重性：高

CVE-2010-2263  

不影响版本: 0.8.40+, 0.7.66+  

影响版本: nginx / Windows 0.7.52-0.8.39

• Windows 8.3文件假名漏洞  

严重性：高  

CORE-2010-0121

不影响版本: 0.8.33+, 0.7.65+  

影响版本: nginx / Windows 0.7.52-0.8.32

• 错误日志数据未被清理  

严重性：几乎没有  

CVE-2009-4487

不影响版本: 无  

影响版本: 所有版本

• SSL协议中的重协商漏洞  

严重性：高  

VU#120541 CVE-2009-3555

不影响版本: 0.8.23+, 0.7.64+  

影响版本: 0.1.0-0.8.22  

补丁 pgp

• 目录遍历漏洞  

严重性：低  

CVE-2009-3898  

不影响版本: 0.8.17+, 0.7.63+  

影响版本: 0.1.0-0.8.16

• 缓冲区下溢漏洞  

严重性：高  

VU#180065 CVE-2009-2629

不影响版本:0.8.15+, 0.7.62+, 0.6.39+, 0.5.38+  

影响版本: 0.1.0-0.8.14

补丁 pgp

• 空指针解引用漏洞  

严重性：高  

CVE-2009-3896  

不影响版本: 0.8.14+, 0.7.62+, 0.6.39+, 0.5.38+  

影响版本: 0.1.0-0.8.13  

补丁 pgp