根据官方曝光,著名的负载均衡和反向代理软件-Nginx-爆出高危安全漏洞,漏洞的CVE编号为CVE-2021-23017
1、开源版本升级说明
- 生产(或准生产)环境建议升级到1.20.1稳定版(Stable);
- 测试环境建议升级到1.20.1稳定版(Stable)或者1.21.0开发版(Mainline);
2、商业收费版本升级说明
- NGINX Plus R23 P1
- NGINX Plus R24 P1
开源版本下载地址:
http://nginx.org/en/download.html
备注:
开源镜像仓库软件Harbor的两个组件(nginx-photon 和 harbor-portal)中均使用到了Nginx,目前官方的最新版本(2.3.0)中仍未修复该漏洞,建议自行升级这两个镜像中的Nginx。本地虚拟机编译Nginx主程序的时候,需要注意编译的参数需要与镜像中编译Nginx使用到的参数保持一致,且openssl版本也要保持一致。
以Harbor 2.2.2版本为例,Nginx的编译参数(删除IPV6编译参数,Nginx高版本自动启用IPV6,无需配置此参数)如下:
./configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --add-module=../nginx-njs/njs-0.2.1/nginx --with-openssl=../openssl-1.0.2u --with-http_ssl_module --with-pcre --with-stream --with-http_auth_request_module --with-http_sub_module --with-http_v2_module --with-http_stub_status_module
镜像中Nginx编译使用的openssl版本为1.0.2u-fips,为此可以在本地虚拟机编译参数中添加
--with-openssl=../openssl-1.0.2u
参考:
http://mailman.nginx.org/pipermail/nginx-announce/2021/000300.html
https://www.nginx.com/blog/updating-nginx-dns-resolver-vulnerability-cve-2021-23017/