Nginx 拒接服務漏洞（CVE-2016-0747）整改

本文轉載自查看原文 2017-12-01 17:14 1941 nginx

Nginx的拒絕服務漏洞主要影響版本為1.10.3之前的版本，為不影響原有nginx的使用，且為避免修改其它配置文件，可以通過編譯nginx最新版本的執行文件去替換舊的執行文件，文中的場景為由nginx1.8.0版本平滑升級到1.10.3版本，安裝過程如下：

1、 nginx安裝依賴如下安裝包：

openssl：http://www.openssl.org/source/openssl-fips-2.0.9.tar.gz

zlib：http://zlib.net/zlib-1.2.8.tar.gz

pcre：ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.38.tar.gz

2、查看nginx的當前版本

進入 /sur/sbin/目錄下執行如下命令:

./nginx -V 查看版本

[root@push1 sbin]# ./nginx -V

nginx version: nginx/1.9.9

built by gcc 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC)

built with OpenSSL 1.0.1p 9 Jul 2015

TLS SNI support enabled

configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6 --with-cc-opt='-O2 -g -pipe -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic' --with-openssl=/usr/local/src/openssl-1.0.1p

2下載nginx1.10.3版本

下載地址：http://nginx.org/download/nginx-1.10.3.tar.gz

上傳安裝包到opt目錄下

解壓 tar –zxvf nginx-1.10.3.tar.gz

進入目錄： cd nginx-1.10.3

指定配置信息：./configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6 --with-cc-opt='-O2 -g -pipe -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic' --with-openssl=/usr/local/src/openssl-1.0.1p

注意：prefix=的內容為步驟2查看版本顯示的內容

3、編譯：make，不需要make install

4、備份原來的nginx的可執行文件,進入 /usr/sbin執行

mv nginx nginx.old

5、拷貝新編譯的執行文件代替舊的文件

5、如果報text file busy 需先停掉nginx,命令如下：

pkill -int nginx

6、再次查看版本信息

[root@push1 sbin]# ./nginx -V

nginx version: nginx/1.10.3

built by gcc 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC)

built with OpenSSL 1.0.1p 9 Jul 2015

TLS SNI support enabled

7、升級成功，啟動nginx

Service nginx start

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 Nginx升級加固SSL/TLS協議信息泄露漏洞(CVE-2016-2183)和HTTP服務器的缺省banner漏洞 nginx 升級 openssl 漏洞 (CVE-2016-2183) OpenSSL "SSL-Death-Alert" 拒絕服務漏洞(CVE-2016-8610)【原理掃描】【轉】 CVE-2016-3714-ImageMagick 漏洞利用 CVE-2016-1240 Tomcat 服務本地提權漏洞 Zabbix漏洞利用 CVE-2016-10134 CVE-2016-7124漏洞復現 openssl CVE-2016-2107 漏洞檢測 BIND DNS拒絕服務漏洞 CVE-2016-2776修復關於Apache Tomcat 文件包含漏洞（CVE-2020-1938）威脅整改