2. 程式人生 > >解決 Nginx CVE-2018-16843 CVE-2018-16844 CVE-2018-16845 CVE-2017-7529 平滑升級到nginx1.14.1

解決 Nginx CVE-2018-16843 CVE-2018-16844 CVE-2018-16845 CVE-2017-7529 平滑升級到nginx1.14.1

阿新 發佈:2018-12-25
詳細情況請參看:

Nginx敏感資訊洩露漏洞 (CVE-2017-7529) 分析

目前可以修復的方案有三條
  • 1.受影響的版本nginx 0.5.6 - 1.13.2全版本,所以升級到大於1.13.2 就可以解決敏感資訊洩露的問題。
  • 2.臨時解決方案,在nginx.conf 中配置max_ranges 1 ; 對下載大檔案,斷點續傳會有影響,請酌情使用。
  • 3.使用第三方安全軟體進行防禦。
升級到Nginx 1.14.1 穩定版本

nginx 被爆出存在安全問題,有可能會致使 1400 多萬臺伺服器易遭受 DoS 攻擊(CVE-2018-16843,CVE-2018-16844)以及 MP4 模組(CVE-2018-16845)

):

  • Security: 在使用 HTTP/2 時可能導致客戶端記憶體消耗過大 (CVE-2018-16843),CPU 使用率過高 (CVE-2018-16844);
  • Security: 使用 ngx_http_mp4_module 處理特製的 mp4 檔案可能導致工作程序記憶體洩露(CVE-2018-16845);
  • Bugfix: 使用 gRPC 後端可能會導致記憶體過度消耗。

2018/11/06釋出了新的版本,解決上面的問題,所以直接一步到位升級到最新的版本(Nginx 1.14.1 穩定版本)。

安裝詳情(lua-nginx-module )
安裝模組
lua-nginx-module
nginx-module-vts
前期工作

安裝依賴包,避免編譯出錯:

$ yum -y install zlib zlib-devel openssl openssl--devel pcre pcre-devel gcc g++ gcc-c++ gd-devel

因為現在我安裝是nginx 1.14,所以下載的元件都比較新,舊版本好像有衝突。

下載模組(之前用到的lua依賴需要升級)
$ cd /usr/local/src
$ wget http://luajit.org/download/LuaJIT-2.0.5.tar.gz  #下載LuaJIT
$ wget https://github.com/simplresty/ngx_devel_kit/archive/v0.3.0.tar.gz  #下載ngx_devle_kit
 

$ wget https://github.com/openresty/lua-nginx-module/archive/v0.10.13.tar.gz  #下載lua_nginx_module
$ wget https://nginx.org/download/nginx-1.14.1.tar.gz
解壓並安裝
$ tar xzf LuaJIT-2.0.5.tar.gz
$ tar xzf v0.3.0.tar.gz
$ tar xzf v0.10.13.tar.gz
$ tar -xzf nginx-1.14.1.tar.gz
$ tar -xzf openssl-1.0.2o.tar.gz
$ cd LuaJIT-2.0.5
$ make && make install
$ export LUAJIT_LIB=/usr/local/lib
$ export LUAJIT_INC=/usr/local/include/luajit-2.0
編譯安裝nginx
$ cd nginx-1.14.1
$ make clean
$ ./configure   \
--prefix=/usr/local/nginx --with-pcre \
--with-http_ssl_module \
--with-http_stub_status_module \
--with-http_gzip_static_module \
--with-ipv6 \
--with-http_realip_module \
--with-pcre-jit \
--with-ld-opt=-ljemalloc \
--with-ld-opt=-Wl,-rpath,/usr/local/luajit/lib \
--add-module=/usr/local/src/nginx114/lua-nginx-module-0.10.13 \
--add-module=/usr/local/src/nginx114/ngx_devel_kit-0.3.0

$ make ##不要make install 不然會覆蓋老版本執行程式
$ mv /usr/local/nginx/sbin/nginx{,_`date +%F`}
$ cp objs/nginx /usr/local/nginx/sbin
$ /usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.14.1  ##升級成功啦
然後在測試lua:

在/usr/local/nginx/conf/nginx.conf 加入

  lua_shared_dict limit 20m;
  lua_shared_dict jump 20m;
  lua_code_cache on;
驗證是否安裝成功

/usr/local/nginx/conf/nginx.conf 加入以下程式碼

        location /hello_lua {
                default_type 'text/plain';
                content_by_lua 'ngx.say("hello, lua")';
重啟nginx(建議將程序殺死後重啟:)

 /usr/local/nginx/sbin/nginx -s reload

$ curl 10.xxx.xx.xx/hello_lua
hello, lua

相關推薦

解決 Nginx CVE-2018-16843 CVE-2018-16844 CVE-2018-16845 CVE-2017-7529 平滑升級nginx1.14.1

詳細情況請參看: Nginx敏感資訊洩露漏洞 (CVE-2017-7529) 分析 目前可以修復的方案有三條 1.受影響的版本nginx 0.5.6 - 1.13.2全版本,所以升級到大於1.13.2 就可以解決敏感資訊洩露的問題。 2.臨時解決方案,在nginx.

Nginx 漏洞 (CVE-2018-16843CVE-2018-16844

近日 nginx 被爆出存在安全問題,有可能會致使 1400 多萬臺伺服器易遭受 DoS ***。而導致安全問題的漏洞存在於 HTTP/2 和 MP4 模組中。 nginx Web 伺服器於 11 月 6 日 釋出了新版本 ,用於修復影響 1.15.6, 1.14.1 之前版本的多個安全問題,被發現的安全問

Nginx敏感信息泄露漏洞(CVE-2017-7529

泄露 內存 構造 一次 .com openss erro 這樣的 技術 2017年7月11日,為了修復整數溢出漏洞(CVE-2017-7529), Nginx官方發布了nginx-1.12.1 stable和nginx-1.13.3 mainline版本,並且提供了官方pa

Nginx越界讀取快取漏洞(CVE-2017-7529

Nginx在反向代理站點的時候,通常會將一些檔案進行快取,特別是靜態檔案。快取的部分儲存在檔案中,每個快取檔案包括“檔案頭”+“HTTP返回包頭”+“HTTP返回包體”。如果二次請求命中了該快取檔案,則Nginx會直接將該檔案中的“HTTP返回包體”返回給使用者。如果我的請求中包

[CVE-2017-5487] WordPress <=4.7.1 REST API 內容註入漏洞分析與復現

tps 文章 分析 請求 利用 api文檔 each includes 什麽 不是很新的漏洞,記錄下自己的工作任務 漏洞影響: 未授權獲取發布過文章的其他用戶的用戶名、id 觸發前提:wordpress配置REST API 影響版本:<= 4.7 0x01漏洞

解決nginx發布網站跨目錄訪問

ges php5 重啟 otto 訪問 ast con start img 解決nginx發布網站跨目錄訪問(thinkphp5+lnmp) 到:usr/local/nginx/conf/vim fastcgi.cof 把最後一行加上井號#註釋掉保存重啟 restart

解決nginx: [error] open() "/usr/local/nginx/logs/nginx.pid" failed錯誤

oot ces bsp cto directory 重新啟動 -c 文件 blank 重新啟動服務器,訪問web服務發現無法瀏覽啦!登陸服務器之後進到nginx使用./nginx -s reload重新讀取配置文件,發現報nginx: [error] open() "/us

解決nginx反向代理proxy不能轉發header報頭

linux nginx centos7 使用nginx做負載均衡或http代理時,碰到http header不轉發的問題。配置裏只有轉發設置原始ip和host的 proxy_set_header Host $host; proxy_set_header X-Real-I

解決Nginx: [error] open() "/usr/local/Nginx/logs/Nginx.pid

tle ref title 訪問 服務 blog roo nginx direct 重新啟動服務器,訪問web服務發現無法瀏覽啦!登陸服務器之後進到nginx使用./nginx -s reload重新讀取配置文件,發現報nginx: [error] open()

PitStop Pro 2018破解版|enfocus PitStop Pro 2018中文破解版下

PitStopenfocus PitStop Pro 2018中文破解版點擊下載 PitStop Pro 2018安裝教程 安裝前準備1.首先在本站下載文件解壓。由於文件較大附件上傳在百度網盤(附件中有百度網盤下載地址)。2.下載文件後解壓文件,在網盤下載的要把幾個分卷一起下載下來然後解壓。主程序安裝1.下載

解決nginx+php二級頁面顯示空白的問題

was 遷移 rec 空白 執行 query 文件處理 spa 無法 遷移官網商城的發現主頁的二級界面顯示空白頁,此https商城網站 後修改nginx配置,顯示正常 添加 location ~ [^/]\.php(/|$) { #fastcgi_pass remot

解決nginx轉發websocket報400錯誤

socket.io 本地 官方 upgrade lin 通信協議 read 都沒有 hub 解決nginx轉發websocket報400錯誤 說明 由於個人服務器上面有多個項目,配置了二級域名,需要對二級域名進行轉發,在轉發工作這快采取了大名鼎鼎的nginx。在這之前所

RUNET.WOODexpress.v03.07.2018 1CD RUNET.BETONexpress.03.07.2018 1CD

code piped ftw lin rop clu fix aer 4.2 RUNET.WOODexpress.v03.07.2018 1CD RUNET.BETONexpress.03.07.2018 1CD RUNET.EUROCODEexpress.03.07.

杭電2018多校第四場(2018 Multi-University Training Contest 4) 1004.Problem D. Nothing is Impossible (HDU6335) -思維題

假設 spa 。。 lan 多校 () class span tdi 6335.Problem D. Nothing is Impossible 題意:給你n道題目,m個人,每題有x個正確選項,y個錯誤選項,問你做對題數量最多的人做對了多少道題目。 如果一道題有

杭電2018多校第四場(2018 Multi-University Training Contest 4) 1005.Problem E. Matrix from Arrays (HDU6336) -子矩陣求和-規律+二維前綴和

main turn 輸出 求和 targe blog 技術分享 tle pre 6336.Problem E. Matrix from Arrays 不想解釋了,直接官方題解: 隊友寫了博客,我是水的他的代碼 ------>HDU 6336 子矩陣求和

杭電2018多校第六場(2018 Multi-University Training Contest 6) 1001.oval-and-rectangle (HDU6362)-數學期望、微積分

style 草稿 隊友 training sin con queue turn .com 2018 Multi-University Training Contest 6 6362.oval-and-rectangle 題意就是橢圓裏畫內接矩形,問你矩形周長的期

杭電2018多校第六場(2018 Multi-University Training Contest 6) 1012.Pinball(HDU 6373) -簡單的計算幾何+物理受力分析

info 簡單的 垂直 -- vector 分析 code space cti 6373.Pinball 物理受力分析題目。 畫的有點醜,通過受力分析,先求出θ角,為arctan(b/a),就是atan(b/a),然後將重力加速度分解為垂直斜面的和平行斜面的,垂直

2018版OCP 11g 052最新考試題庫整理(帶答案)(14

taf list port 考試 copies obs swe form 答案 14、Which command is used to display files that no longer conform to the backup retention policy?

解決 nginx 出現 413 Request Entity Too Large 的問題

xxxx light pos req star 題解 clas 字段 ... 1.若nginx用所用的 php 請求解析服務是 fpm, 則檢查 /etc/php5/fpm/php.ini 文件中的參數 upload_max_filesize = 20M post_max

2018.10.27 loj#6035. 「雅禮集訓 2017 Day4」洗衣服(貪心+堆)

傳送門 顯然的貪心題啊。。。考試沒調出來10pts滾了妙的一啊 直接分別用堆貪心出洗完第 i i i件衣