记录nginx漏洞升级问题处理

已于 2022-07-15 09:43:35 修改
阅读量2.6k 收藏 7
点赞数
分类专栏: java 文章标签: nginx 服务器 运维
于 2022-07-15 09:05:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/studymary/article/details/125796962
版权

文章目录

记录nginx漏洞升级问题处理

1. 问题描述:

  • nginx 安全漏洞(CVE-2019-9511)
    • Nginx 1.9.51 至 16.0版本及1.17.2.版本中的HTTP/2实现中存在拒绝服务漏洞,攻击者以多个数据流请求特定资源上的大量数据,通过操纵窗口大小和流优先级,强迫服务器将数据排列在1字节的块中,导致CPU及内存资源耗尽,造成拒绝服务。
  • nginx 安全漏洞(CVE-2019-9513)
    • Nginx 1.9.51 至 16.0版本及1.17.2.版本中的HTTP/2实现中存在拒绝服务漏洞,攻击者以多个数据流请求特定资源上的大量数据,通过操纵窗口大小和流优先级,强迫服务器将数据排列在1字节的块中,导致CPU及内存资源耗尽,造成拒绝服务。
  • nginx 安全漏洞(CVE-2018-16843)
    • nginx 1.15.6和1.14.1之前的版本的HTTP/2实现过程中存在安全漏洞。攻击者可利用该漏洞消耗大量的内存空间。
  • nginx 安全漏洞(CVE-2021-23017)
    • nginx存在安全漏洞,该漏洞源于一个离一错误在该漏洞允许远程攻击者可利用该漏洞在目标系统上执行任意代码。
      受影响版本:0.6.18-1.20.0
  • nginx 安全漏洞(CVE-2018-16844)
    • Nginx 1.15.5之前的版本和1.14.1版本中的HTTP/2实现过程中存在安全漏洞。远程攻击者可通过发送恶意的请求利用该漏洞造成拒绝服务。
  • nginx 安全漏洞(CVE-2018-16845)
    • Nginx 1.15.5及之前的版本和1.14.1版本中的ngx_http_mp4_module组件存在内存泄露漏洞,该漏洞源于程序没有正确处理MP4文件。远程攻击者可利用该漏洞获取敏感信息或造成拒绝服务。
  • NGINX 环境问题漏洞(CVE-2019-20372)
    • NGINX 1.17.7之前版本中存在环境问题漏洞。攻击者可利用该漏洞读取未授权的Web页面。

2.解决方案:

  • nginx旧版本存在安全隐患,升级新版本,由于是线上环境,需要平滑升级。

3. nginx平滑升级经验:

1、 下载需要安装的nginx版本

下载地址:http://nginx.org/download/
我下载的是nginx-1.20.1.tar.gz
解压到任意目录:tar zxvf nginx-1.20.1.tar.gz -C /usr/local/hqb/nginx2

2、 查看nginx现有的版本以及之前的安装配置

进入nginx二进制文件所在目录:
[root@houqingbao sbin]# cd /usr/local/hqb/nginx/sbin/
[root@houqingbao sbin]# ll
总用量 7456
-rwxr-xr-x. 1 root root 3883616 7月  14 10:50 nginx
-rwxr-xr-x. 1 root root 3746632 7月   5 2021 nginx.bak

./nginx -v (查看当前版本)
./nginx -V (查看安装配置)
我的安装配置(后边需要用到):
[root@houqingbao sbin]# ./nginx -V
nginx version: nginx/1.20.1
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) 
[root@houqingbao sbin]# configure arguments: --prefix=/usr/local/hqb/nginx

3、 按照之前的配置安装解压的nginx,按照原来的编译参数安装 nginx 的方法进行安装,只需要到 make,千万不要 make install 。如果make install 会将原来的配置文件覆盖

[root@houqingbao nginx-1.20.1]# ./configure --prefix=/usr/local/hqb/nginx
[root@houqingbao nginx-1.20.1]# make

4、 备份原来的nginx二进制文件

[root@houqingbao sbin]# mv /usr/local/hqb/nginx/sbin/nginx /usr/local/hqb/nginx/sbin/nginx.bak

5、 复制新的nginx二进制文件,进入新的nginx源码包

[root@houqingbao nginx-1.20.1]# cp /objs/nginx /usr/local/hqb/nginx/sbin

6、 测试新版本的nginx是否正常

[root@houqingbao sbin]# ./nginx -t
nginx: the configuration file /usr/local/hqb/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/hqb/nginx/conf/nginx.conf test is successful

7、 给nginx发送平滑迁移信号(若不清楚pid路径,请查看nginx配置文件)

[root@houqingbao logs]# kill -USR2 `cat nginx.pid`

8、 查看nginx pid,会出现一个nginx.pid.oldbin

[root@houqingbao logs]# ll
总用量 1368012
-rw-r--r--. 1 root root 1374367224 7月  14 12:21 access.log
-rw-r--r--. 1 root root   26459139 7月  14 11:58 error.log
-rw-r--r--. 1 root root          6 7月  14 11:02 nginx.pid
-rw-r--r--. 1 root root          6 7月  14 11:02 nginx.pid.oldbin

9、 从容关闭旧的Nginx进程

[root@houqingbao logs]# kill -WINCH `cat nginx.pid.oldbin`

10、 此时不重载配置启动旧的工作进程

[root@houqingbao logs]# kill -HUP `cat nginx.pid.oldbin`

11、 结束工作进程,完成此次升级

[root@houqingbao logs]# kill -QUIT `cat nginx.pid.oldbin`

12、验证Nginx是否升级成功

[root@houqingbao sbin]# ./nginx -v
studymary
关注
专栏目录
nginx平滑升级解决 nginx 安全漏洞(CVE-2021-23017)和NGINX 环境问题漏洞(CVE-2019-20372)
web13116256725的博客
09-10 1127
关于漏洞扫描nginx安全漏洞的修复。服务器漏洞扫描中扫出了nginx的安全漏洞nginx 安全漏洞(CVE-2021-23017)和NGINX 环境问题漏洞(CVE-2019-20372),受影响版本为0.6.18-1.20.0;给出解决办法为升级补丁修复,由于漏洞较多考虑平滑升级。提示:以下是本篇文章正文内容,下面案例可供参考以上就是对nginx 安全漏洞进行处理平滑升级的内容,本文仅仅简单记录了自己工作中处理问题,不一定适用于所有情况,仅供大家参考。
nginx http/2模块漏洞修复记录
hard_refuse_back的博客
10-25 1613
网站的nginx http/2模块安全漏洞修复记录 解决方案:将旧版本1.14.2升至安全版本1.16.1 1.nginx旧版本配置查看 [root@node2 ~]# nginx -V nginx version: nginx/1.14.2 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) built with OpenSSL 1.0.2s 28 May 2019 TLS SNI support enabled configure argumen
nginx升级
Carson的专栏
06-21 382
最近nginx漏洞,需要将1.22.0升级1.24.0,下面是升级步骤。
nginx1.4.0漏洞验证
06-21
测试用到的python文件和linux版本的nginx1.4.0源码
nginx常见漏洞解析_nginx漏洞
最新发布
2401_87298532的博客
09-22 1549
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。content-range是什么?range是什么?存在于HTTP请求头中,表示请求目标资源的部分内容,例如请求一个图片的前半部分,单位是byte,原则上从0开始,但今天介绍的是可以设置为负数。range的典型应用场景例如:断点续传、分批请求资源。content-range的表达方式:Range:bytes=0-1024 表示访问第0到第1024字节;
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1107
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
Nginx 解析漏洞复现
weixin_45366453的博客
07-20 3791
Nginx 解析漏洞复现
CentOS7.6系统环境nginx版本升级1.24.0版本。 (漏洞修复)
weixin_58949710的博客
01-17 769
漏洞扫描发现环境中所使用的nginx版本有高风险漏洞,评估后决定将其升级最新1.24.0版本。
Nginx漏洞总结
热门推荐
weixin_42345596的博客
10-08 2万+
Nginx简介 Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。 Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较
nginx漏洞修复及升级指南
5. 文件名称列表说明:通过文件名称列表“upgrade_nginx”,可以推测该压缩包内包含的是用于升级Nginx服务器的相关文件和脚本,这些文件可能包括最新版本的Nginx二进制文件、配置文件、启动脚本以及升级日志记录脚本...
Nginx 1.24.0 拿走即用
qq_32203083的博客
07-14 877
Nginx 1.24.0 开箱即用
nginx-1.24.0-1.el7.ngx.x86-64-ipv6.rpm
05-26
2023年5月26日,当前最新稳定版本nginx 1.24.0 已开启ipv6支持 二进制rpm包 适用于centos7 redhat 7系列的操作系统使用 适用于x86架构 主要修复安全漏洞升级更新nginx版本,增强web服务器安全性
CVE-2019-1253:CVE-2019-1253的Poc
03-09
CVE-2019-1253 原始Poc已发送给MSRC。 此问题已在2019年9月“星期二”定期更新中修复。 分配给CVE-2019-1253-Windows特权提升漏洞。 有两种PoC:我最初发送给MSRC的PoC位于“ AppxExploit_Edge”目录下。 AppxExploit_Edge PoC可以很好地运行,但仅适用于未在9月(2019)更新中修补的Windows 10(所有版本)。 另一个PoC基于Cortana,位于“ AppxExploit_Cortana”目录下,它是经过实验的,从未发送给MSRC。 但是,有趣的是,它确实可以与Windows Server 2019一起使用,并且它可以提供USER FULL访问权限,尽管由于竞争条件而有些不稳定,但通常总是在第一次使用。 阅读目录项目中的自述文件,它应该可以自我解释。 我建议您使用VS2017(或您喜欢的任何东
nginx 安全漏洞 (CVE-2021-23017)
百花群争艳
01-22 2226
nginx 安全漏洞 (CVE-2021-23017),此漏洞受影响版本:0.6.18-1.20.0。linux安装了nginx-1.16.1.tar.gz 和pcre-8.35.tar.gz。升级nginx到版本nginx-1.24.0.tar.gz。kill -9 加进程ID。升级nginx版本。
nginx 版本升级漏洞修复)
qq_45746747的博客
03-14 667
home/nginx/sbin/nginx -V 查看当前版本是1.14.2 查看 原nginx使用模块 --prefix=/home/nginx --with-http_stub_status_module --with-http_ssl_module --with-stream (下面第五步会用到这块)7、将原nginx文件备份:cp -rf /home/nginx/sbin/nginx /home/nginx/sbin/nginx.old20240313。2、备份/home/nginx目录。
【Security】Nginx多个版本爆出高危安全漏洞
cnskylee的博客
06-28 2070
根据官方曝光,著名的负载均衡和反向代理软件-Nginx-爆出高危安全漏洞漏洞的CVE编号为CVE-2021-23017 1、开源版本升级说明 生产(或准生产)环境建议升级到1.20.1稳定版(Stable); 测试环境建议升级到1.20.1稳定版(Stable)或者1.21.0开发版(Mainline); 2、商业收费版本升级说明 NGINX Plus R23 P1 NGINX Plus R24 P1 开源版本下载地址: http://nginx.org/en/download.html 参
nginx漏洞升级Nginx 1.16.1
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-15 1万+
背景 安全部门扫描发现,某业务主机存在以下漏洞nginx 安全漏洞(CVE-2019-9511) nginx 安全漏洞(CVE-2019-9513) nginx 安全漏洞(CVE-2019-9516) 受影响版本:Nginx 1.9.51 至 16.0版本及1.17.2. 按照建议升级到:Nginx 1.16.1,下载地址:https://nginx.org/download/nginx-1.16.1.tar.gz 过程 1、登录云主机rz上次安装包到系统内,然后解压 2、备份旧版本的nginx的执行
nginx相关漏洞处理:CVE-2016-2183、CVE-2022-41741、CVE-2022-41742
大新新大浩浩的博客
09-19 8156
nginx相关漏洞处理:CVE-2016-2183、CVE-2022-41741、CVE-2022-41742
Nginx 安全漏洞(CVE-2022-3638)处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-28 1万+
漏洞描述如下:nginx中发现的该漏洞会影响涉及IPv4连接断开的ngx_resolver.c文件某些未知处理过程,攻击者利用该漏洞在发起远程攻击,导致这个过程中触发内存泄漏。从发布的版本看,1.23.2版本并没有标明修复CVE-2022-3638漏洞,但看文件已经删除了下列代码,最好使用补丁编译。:该主机上Nginx为从其他主机整体打包后拷贝过来,启动运行的,后来升级时发现很多依赖项并未安装;2)下载后,将补丁覆盖源码包,重新编译或直接用1.23.2版本重新编译。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值