nginx 漏洞修复 CVE-2024-7347 CVE-2025-23419

于 2025-05-19 16:43:33 发布
阅读量1.1k 收藏 6
点赞数 14
文章标签: 服务器 网络 前端 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shutingwang/article/details/148067969
版权

PS:查看ng服务及版本 
netstat -anp|grep 8088
ps -ef|grep nginx
ll //proc//30597

./nginx -V 查看当前ng版本1.24.0

需要从1.24.0升级到1.26.3版本 1.26.3及以上版本修复了上述漏洞

1、官网https://nginx.org/en/download.html下载nginx-1.26.3.tar.gz的包
2、备份/home/nginx目录  tar -czvf nginx20250519.tar.gz nginx
3、/home/nginx/sbin/nginx -v 查看当前版本是1.24.0
/home/nginx/sbin/nginx -V 查看当前版本是1.24.0查看 原nginx使用模块 --prefix=/home/nginx --with-http_stub_status_module --with-http_ssl_module --with-stream (下面会用到这块)
4、解压tar -zxvf nginx-1.26.3.tar.gz /home/nginx-1.26.3
5、在/home/nginx-1.26.3下保留原模块执行配置:
./configure --prefix=/home/nginx --with-http_stub_status_module --with-http_ssl_module --with-stream
6、/home/nginx-1.26.3下执行make
7、将原nginx文件备份:cp -rf /home/nginx/sbin/nginx /home/nginx/sbin/nginx.old20240313
8、复制新的nginx文件到原目录下:cp -rf /home/nginx-1.26.3/objs/nginx /home/nginx/sbin
9、停止原nginx:ps -ef |grep nginx 

kill-9 ****
10、启动新nginx:cd /home/nginx/sbin ./nginx
升级后验证
查看版本
[root@0927-centos7 sbin]# ./nginx -v
nginx version: nginx/1.26.3


访问ng  url
Welcome to nginx!

漏洞复现】Zabbix SQL注入漏洞 - CVE-2024-42327
总有人间一两风,填我十万八千梦
12-06 3383
Zabbix 前端上具有默认用户角色或具有提供 API 访问权限的任何其他角色的非管理员用户帐户可以利用此漏洞。SQLi 存在于 CUser 类的 addRelatedObjects 函数中,该函数是从 CUser.get 函数调用的,每个具有 API 访问权限的用户都可以使用该函数。
nginx平滑升级nginx升级解决漏洞CVE-2024-7347
m0_74824877的博客
12-30 1317
如果没有看到 Nginx 进程在运行,说明 Nginx 可能没有启动或者已经意外停止了。这里的配置选项可以根据你的实际需求进行调整。如果在 1.23.3 版本中有自定义的模块或配置,可以在这个步骤中添加相应的选项以确保新的版本也包含这些功能。笔者服务器 nginx 目前是nginx-1.23.3 安装在/usr/local/nginx。如果启动成功,Nginx 会自动创建一个新的 pid 文件,其中包含正确的进程 ID。下载 Nginx 1.27.2 安装包,可以从 Nginx 官方网站下载。
nginx平滑升级|nginx升级|解决漏洞CVE-2024-7347
一介码夫
10-15 4333
这里的配置选项可以根据你的实际需求进行调整。如果在 1.23.3 版本中有自定义的模块或配置,可以在这个步骤中添加相应的选项以确保新的版本也包含这些功能。笔者服务器 nginx 目前是nginx-1.23.3 安装在/usr/local/nginx。下载 Nginx 1.27.2 安装包,可以从 Nginx 官方网站下载。此次版本为1.27.2 需要保留原来配置。文章内容参考:豆包ai。
Openssh 最新漏洞修复指导
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
03-07 3369
近期安全扫描发现,OpenSSH(OpenBSD Secure Shell) 9.7p1及之前版本中存在多个漏洞,影响大部分开源版本,如下所示,更多参看版本说明和厂商安全公告受影响版本漏洞编号漏洞说明修复版本OpenSSH 9.7p1及之前版本其中,scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
解决Nginx安全漏洞CVE-2018-16844、CVE-2019-9511、CVE-2021-3618、CVE-2018-16843、CVE-2021-23017】等问题
最新发布
weixin_44554055的博客
04-27 562
Nginx安全漏洞升级方案
OpenSSH 漏洞补丁以及Linux /Windows更新补丁更新笔记
weixin_43258559的博客
04-30 1841
对openssh相关漏洞进行更新,升级到openssh9.5以上
NginxNginx 最新稳定版本(1.26.3)发布
cnskylee的博客
02-10 3987
nginx.org发布1.26.3最新稳定版本,包括二进制源码包以及rpm包
Nginx漏洞复现与防御实战|2024最新CVE解析(含目录遍历/文件解析绕过/反向代理漏洞EXP复现+安全加固方案)渗透测试工程师必看」
浩策盾悟
03-02 5483
通过访问config.do配置页面,先更改Work Home工作目录,用有效的已部署的Web应用目录替换默认的存储JKS Keystores文件的目录,之后使用"添加Keystore设置"的功能,可上传恶意的JSP脚本文件。而反序列话则是再把字节序列恢复为java对象的过程,然而就在这一转一变得过程中,程序员的过滤不严格,就可以导致恶意构造的代码的实现。IIS的短文件名机制,可以暴力猜解短文件名,访问构造的某个存在的短文件名,会返回404,访问构造的某个不存在的短文件名,返回400。
nginx网站安全漏洞修复2024年最新2024网络安全面试心得
2401_83621541的博客
04-15 1225
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。判断标准: 检查响应头中是否有返回X-Frame-Options头,如果没有则报出漏洞
Nginx 1.24.0 拿走即用
qq_32203083的博客
07-14 1252
Nginx 1.24.0 开箱即用
nginx解析漏洞简单复现及修复
qq_40907977的博客
09-07 4847
Nginx简介 Nginx是一款轻量级的web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,其特点是占内存小、并发能力强;国内使用Nginx的有百度、京东、新浪、网易、腾讯、淘宝等 优势 1、作为Web服务器Nginx处理静态文件、索引文件、自动索引的效率非常高 2、作为代理服务器Nginx可以实现无缓存的反向代理加速,提高网站运行速度 3、作为负载均衡服务器Nginx既可以在内部直接支持rails和PHP,也可以支持HTTP代理服务器对外进行服务,同时还支持简单的容错和利用算法进
Nginx越界读取缓存漏洞 CVE-2017-7529
03-13
Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。缓存的部分存储在文件中,每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件,则Nginx会直接将...
2024年网安最新nginx 安全漏洞 (CVE-2024-23017)(1)
2401_84301853的博客
05-03 1873
linux安装了nginx-1.16.1.tar.gz 和pcre-8.35.tar.gz安装过程如下。
2024网络安全最全nginx 安全漏洞 (CVE-2024-23017)网络安全开发面试2024
2401_84281703的博客
05-11 1486
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
F5NGINX 联手增强混合环境的安全性
NGINX开源社区的博客
03-19 2027
NGINX 在 2019 年加入 F5 时,我们知道这是一个强强联手的选择。NGINX App Protect 就是一个很好的证明,它将 F5 可信且性能强劲的 WAF 引擎整合到一个可以轻松部署在任何环境的轻量级解决方案中,在提供强大保护的同时不会增加延迟。
nginx平滑升级解决 nginx 安全漏洞(CVE-2021-23017)NGINX 环境问题漏洞(CVE-2019-20372)
热门推荐
weixin_44460932的博客
06-14 1万+
关于漏洞扫描nginx安全漏洞修复服务器漏洞扫描中扫出了nginx安全漏洞nginx 安全漏洞(CVE-2021-23017)NGINX 环境问题漏洞(CVE-2019-20372),受影响版本为0.6.18-1.20.0;给出解决办法为升级补丁修复,由于漏洞较多考虑平滑升级。 官方下载渠道下载1.20.0以上版本的linux。下载地址: http://nginx.org/en/download.html 我使用的服务器是linux系统,推荐下载官网Stable version的1.22.0版
nginx相关漏洞处理:CVE-2016-2183、CVE-2022-41741、CVE-2022-41742
大新新大浩浩的博客
09-19 9091
nginx相关漏洞处理:CVE-2016-2183、CVE-2022-41741、CVE-2022-41742
windows解决 F5 Nginx 安全漏洞(CVE-2024-7347)
04-03
### 关于在 Windows 上修复 Nginx 和 F5CVE-2024-7347 漏洞 尽管大多数关于 Nginx 升级和漏洞修复的操作指南主要针对 Linux 系统,但在 Windows 平台上也可以通过一些特定方法来处理此类问题。以下是详细的解决方案: #### 1. 备份现有配置文件 在任何升级操作之前,建议先备份现有的 Nginx 配置文件以及安装目录。这可以防止因意外错误而导致服务中断。 ```bash xcopy C:\nginx\ C:\nginx-backup\ /E /H /C /I ``` 此命令会复制整个 `C:\nginx` 文件夹到一个新的位置作为备份[^1]。 --- #### 2. 下载并解压最新的 Nginx 版本 为了修补 CVE-2024-7347 漏洞,需要下载支持该补丁的最新稳定版 Nginx。可以通过官方站点获取对应版本的压缩包。 访问官网链接: https://nginx.org/en/download.html 随后将下载好的 `.zip` 或者 `.tar.gz` 压缩包放置在一个临时工作目录下,并进行解压操作。 ```powershell Expand-Archive -Path .\nginx-1.27.2.zip -DestinationPath C:\nginx-new\ ``` 上述 PowerShell 脚本用于解压 ZIP 文件至指定路径[^2]。 --- #### 3. 替换旧二进制文件 完成新版本解压后,需停止当前运行中的 Nginx 实例,再替换原有的可执行程序及相关模块库。 ```cmd cd C:\nginx-old\ nginx.exe -s stop copy C:\nginx-new\nginx.exe C:\nginx-old\nginx.exe /Y ``` 这里假设原安装路径位于 `C:\nginx-old\` ,而新的解压目标则设为 `C:\nginx-new\` 。注意覆盖时应确认无误后再继续[^3]。 --- #### 4. 测试与启动更新后的实例 重新加载修改过的配置文件以验证一切正常运作。 ```cmd cd C:\nginx-old\ nginx.exe -t nginx.exe ``` 如果测试结果显示语法正确,则表明迁移成功;最后重启服务器即可生效全部更改[^4]。 --- #### 注意事项 由于题目还提及了 F5 设备关联性,在实际部署过程中可能还需要额外关注两者间的通信协议兼容性和负载均衡策略调整等问题。具体细节请参照各自厂商文档说明进一步实施优化措施。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值