" id="b1img" alt="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" title="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO">
  • " alt="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" title="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" />
  • " alt="Windows/Linux服务器运维技术支持 环境搭建、应用发布、服务器管理、虚拟化、云计算" title="Windows/Linux服务器运维技术支持 环境搭建、应用发布、服务器管理、虚拟化、云计算" />
  • " alt="高校/小型企业网络运维与建设免费技术支持,网络规划、网络优化、故障排除、网络管理" title="高校/小型企业网络运维与建设免费技术支持,网络规划、网络优化、故障排除、网络管理" />

Nginx中危敏感信息泄露漏洞解决方法

系统运维2017-08-25 itlogger阅读(505) 评论(0)

【漏洞描述】
2017年7月11日,Nginx官方发布最新的安全公告,在Nginx范围过滤器中发现了一个安全问题(CVE-2017-7529),通过精心构造的恶意请求可能会导致整数溢出并且不正确处理范围,从而导致敏感信息泄漏。
当使用Nginx标准模块时,如果文件头从缓存返回响应,允许攻击者获取缓存文件头。在某些配置中,缓存文件头可能包含后端服务器IP地址或其他敏感信息。
此外,如果使用第三方模块有潜在的可能导致拒绝服务
【影响版本】
Nginx 0.5.6-1.13.2
【解决方法】
升级Nginx到最新版本,Nginx升级具体操作步骤如下:
nginx安装目录为/usr/local/nginx为例
1.查看当前Nginx 版本
cd /usr/local/nginx/sbin
nginx -V
记录显示的nginx编译参数:configure arguments: –prefix=/usr/local/nginx
2.备份nginx文件
mv nginx nginx.old
2.下载Nginx最新版本1.13.4
http://nginx.org/en/download.html
3.上传到服务器并解压
tar -xvfz nginx-1.13.4.tar.gz
4.编译nginx
./configure –prefix=/usr/local/nginx【参数填步骤1显示的参数】
5.拷贝编译后的文件
cp objs/nginx /usr/local/nginx/sbin
/usr/sbin/nginx -t
6.升级结果验证
nginx -t 检查配置文件是否正常
nginx -V 查看版本
7.nginx restart 重启服务

转载请注明 :IT樵客
文章地址:http://www.itlogger.com/system/2316.html
标签:
相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注