关于centos7和centos6中平滑升级nginx到新版本v1.12.1修复CVE-2017-7529漏洞的解决方案
漏洞描述
2017年7月11日,Nginx官方发布最新的安全公告,在Nginx范围过滤器中发现了一个安全问题(CVE-2017-7529),通过精心构造的恶意请求可能会导致整数溢出并且不正确处理范围,从而导致敏感信息泄漏。
当使用Nginx标准模块时,如果文件头从缓存返回响应,允许攻击者获取缓存文件头。在某些配置中,缓存文件头可能包含后端服务器IP地址或其他敏感信息。
此外,如果使用第三方模块有潜在的可能导致拒绝服务。
影响版本
Nginx 0.5.6-1.13.2
漏洞等级
中危
受影响网站:
安全指数分析中国互联网共有713651个网站受到影响。
修复建议
1、升级Nginx到最新无漏洞版本,当前1.13.3,1.12.1版本中已修复了这个问题。
2、临时方案:配置 max_ranges 1;
3、使用百度云加速WAF防火墙进行防御。
4、添加网站至安全指数,及时了解网站组件突发/0day漏洞。
1.添加nginx官方yum源
# vim /etc/yum.repos.d/nginx.repo
centos7:
[nginx] name=nginx repo baseurl=http://nginx.org/packages/centos/7/$basearch/ gpgcheck=0 enabled=1
centos6:
[nginx] name=nginx repo baseurl=http://nginx.org/packages/centos/6/$basearch/ gpgcheck=0 enabled=1
看到有最新的1.12.1版本在yum列表中了
# yum list |grep nginx nginx.x86_64 1:1.10.2-1.el7 @epel nginx-all-modules.noarch 1:1.10.2-1.el7 @epel nginx-filesystem.noarch 1:1.10.2-1.el7 @epel nginx-mod-http-geoip.x86_64 1:1.10.2-