根据其服务器响应标头，安装的 nginx 版本为 1.11.4 至 1.26.2 或低于 1.27.4 的 1.27.x。因此，此服务器受到 SSL 会话重用漏洞的影响，这是因为使用 TLSv1.3 SNI 处理虚拟服务器时存在检查不充分，导致在其他虚拟服务器中重用 SSL 会话，从而绕过客户端 SSL 证书验证。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2025:7331 公告中提及的一个漏洞影响。

    nginx 是支持 HTTP 和其他协议的 Web 和代理服务器，侧重于高并发、性能和低内存使用。

    安全修复：

    * nginx: TLS 会话恢复漏洞 (CVE-2025-23419)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

    其他变更：

    如需有关此发行版本的详细变更信息，请参阅可从“参考”部分链接的 Red Hat Enterprise Linux 9 发行说明。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Ubuntu 20.04 LTS / 22.04 LTS / 24.10 主机上安装的程序包受到 USN-7285-1 公告中提及的漏洞的影响。

    发现当多个服务器区块被配置为共享 IP 地址和端口时，nginx 未得到正确处理。攻击者可利用此问题，通过会话恢复来绕过这些服务器上的客户端证书认证要求。此问题仅影响 Ubuntu 24.10。

    修复了 nginx rtmp 模块中的缓冲区溢出和空指针取消引用 (#LP 1977718)。此问题仅影响 Ubuntu 20.04 LTS 和 Ubuntu 22.04 LTS。

Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

因此，它受到 ALAS2023-2025-842 公告中提及的一个漏洞影响。

    将多个服务器区块配置为共享相同的 IP 地址和端口时，攻击者可利用会话恢复绕过这些服务器上的客户端证书认证要求。当在默认服务器中使用 TLS 会话票证 https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_session_ticket_keyare 和/或使用 SSL 会话缓存 https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_session_cacheare，并且该默认服务器执行客户端证书认证时，会出现此漏洞。

    注意：不评估已达到技术支持结束日期 (EoTS) 的软件版本。
    (CVE-2025-23419)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Ubuntu 24.04 LTS 主机上安装的程序包受到 USN-7285-2 公告中提及一个漏洞影响。

    USN-7285-1 修复了 nginx 中的漏洞。此更新提供针对 Ubuntu 24.04 LTS 的相应更新。



Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Azure Linux 3.0 主机上安装的 nginx 版本低于 测试的版本。因此，该程序受到 CVE-2025-23419 公告中提及的一个漏洞影响。

  - 将多个服务器块配置为共享相同的 IP 地址和端口时攻击者可利用会话恢复绕过这些服务器上的客户端证书认证要求。当在默认服务器中使用 TLS 会话票证 https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_session_ticket_key 和/或 SSL 会话缓存 https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_session_cache 并且默认服务器执行客户端证书认证时会出现此漏洞。注意：不评估已达到技术支持结束日期 (EoTS) 的软件版本。(CVE-2025-23419)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Debian 11 主机上安装的多个程序包受到 dla-4091 公告中提及的多个漏洞影响。

    - ------------------------------------------------------------------------- Debian LTS 公告 DLA-4091-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Andrej Shadura 2025 年 3 月 25 日 https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    程序包: nginx 版本: 1.18.0-6.1+deb11u4 CVE ID : CVE-2024-7347 CVE-2025-23419

    此上传修复了 bullseye 中所提供 nginx 版本中的两个安全问题。

    CVE-2024-7347

        Nginx 的 ngx_http_mp4_module 中存在一个漏洞，可允许攻击者使用特别构建的 mp4 文件过度读取 nginx 工作线程内存，导致其终止。此问题仅影响使用 ngx_http_mp4_module 构建， 且配置文件中使用 .mp4 指令的 nginx。此外，攻击者仅在能够使用 ngx_http_mp4_module 触发特别构建的 mp4 文件处理时才可能发起攻击。

    CVE-2025-23419

        将多个服务器区块配置为共享相同的 IP 地址和端口时，攻击者可利用会话恢复绕过这些服务器上的客户端证书认证要求。当在默认服务器中使用 TLS 会话票证和/或使用 SSL 会话缓存，并且该默认服务器执行客户端证书身份验证时，会出现此漏洞。
        此问题不影响 bullseye 中的 ngx_stream_ssl_module，因为流虚拟服务器功能是在更新后的版本中添加。

    对于 Debian 11 bullseye，这些问题已在 1.18.0-6.1+deb11u4 版本中修复。

    建议您升级 nginx 程序包。

    如需了解 nginx 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/nginx

    有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTS

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Oracle Linux 9 主机上安装的程序包受到 ELSA-2025-7331 公告中提及的漏洞的影响。

    - 解决了 RHEL-78236 - nginxTLS 会话恢复漏洞 (CVE-2025-23419)

Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 将多个服务器区块配置为共享相同的 IP 地址和端口时，攻击者可利用会话恢复功能绕过这些服务器上的客户端证书认证要求。当在默认服务器中使用 TLS Session Tickets https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_session_ticket_key 和/或使用 SSL 会话缓存 https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_session_cache ，且默认服务器执行客户端证书认证时，即会出现此漏洞。注意：不评估已达到技术支持结束日期 (EoTS) 的软件版本。(CVE-2025-23419)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程主机上安装的 nginx 版本低于 1.26.3-1。因此，该程序受到 ALAS2NGINX1-2025-008 公告中提及的一个漏洞影响。

    将多个服务器区块配置为共享相同的 IP 地址和端口时，攻击者可利用会话恢复绕过这些服务器上的客户端证书认证要求。当在默认服务器中使用 TLS 会话票证 https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_session_ticket_keyare 和/或使用 SSL 会话缓存 https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_session_cacheare，并且该默认服务器执行客户端证书认证时，会出现此漏洞。

    注意：不评估已达到技术支持结束日期 (EoTS) 的软件版本。
    (CVE-2025-23419)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
114594	Nginx 1.27.x < 1.27.4 SSL 会话重用	Web App Scanning	Component Vulnerability	2025/2/12	2025/2/12	medium
114595	Nginx 1.11.4 < 1.26.3 SSL 会话重用	Web App Scanning	Component Vulnerability	2025/2/12	2025/2/12	medium
235802	RHEL 9：nginx (RHSA-2025:7331)	Nessus	Red Hat Local Security Checks	2025/5/13	2025/7/1	medium
216699	Ubuntu 20.04 LTS / 22.04 LTS / 24.10：nginx vulnerability (USN-7285-1)	Nessus	Ubuntu Local Security Checks	2025/2/24	2025/2/24	medium
216803	Amazon Linux 2023：nginx、nginx-all-modules、nginx-core (ALAS2023-2025-842)	Nessus	Amazon Linux Local Security Checks	2025/2/26	2025/2/26	medium
241650	Ubuntu 24.04 LTS：nginx 漏洞 (USN-7285-2)	Nessus	Ubuntu Local Security Checks	2025/7/9	2025/7/9	medium
216568	Azure Linux 3.0 安全更新nginx (CVE-2025-23419)	Nessus	Azure Linux Local Security Checks	2025/2/21	2025/9/15	medium
233322	Debian dla-4091 : libnginx-mod-http-auth-pam - 安全更新	Nessus	Debian Local Security Checks	2025/3/25	2025/3/25	medium
237032	Oracle Linux 9nginx (ELSA-2025-7331)	Nessus	Oracle Linux Local Security Checks	2025/5/22	2025/9/11	medium
230539	Linux Distros 未修补的漏洞: CVE-2025-23419	Nessus	Misc.	2025/3/6	2025/9/29	medium
233437	Amazon Linux 2：nginx (ALASNGINX1-2025-008)	Nessus	Amazon Linux Local Security Checks	2025/3/28	2025/3/28	medium

检测

插件搜索

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium