2. 程式人生 > >Nginx平滑升級到最新版本

Nginx平滑升級到最新版本

阿新 發佈:2017-07-18
nginx 版本升級

(一)簡述:

早上收到nginx最新漏洞的通知,Nginx官方發布最新的安全公告,在Nginx範圍過濾器中發現了一個安全問題(CVE-2017-7529),通過精心構造的惡意請求可能會導致整數溢出並且不正確處理範圍,從而導致敏感信息泄漏。

當使用Nginx標準模塊時,如果文件頭從緩存返回響應,允許攻擊者獲取緩存文件頭。在某些配置中,緩存文件頭可能包含後端服務器IP地址或其他敏感信息。此外,如果使用第三方模塊有潛在的可能導致拒絕服務。

影響版本

Nginx 0.5.6-1.13.2

漏洞等級

中危

Nginx 在官方公告中稱發現了一個範圍過濾器中的安全問題。通過精心構造的惡意請

求能造成整數溢出,對範圍的不當處理會導致敏感信息泄漏。

No. 漏洞名稱 漏洞危害

CVE-2017-7529 Nginx range 過濾器整形溢出漏洞 高危


針對 CVE–2017–7529 修復建議

針對 Nginx range 過濾器整形溢出漏洞的修復建議

1) 下面的配置可以作為暫時的解決辦法:

max_ranges 1;

2) 建議受影響用戶盡快升級至 1.13.3, 1.12.1

3) 及時安裝官方補丁。


雖然臨時可以解決,不過還是建議升級到最新的版本,官方建議升級到1.12.1。

(二)具體的升級步驟:

(1)升級和安裝nginx第三方模塊一樣,需要查看原來安裝nginx的版本以及編譯的參數:

[[email protected]
/* */ opt]# /usr/local/nginx2/sbin/nginx -V nginx version: nginx/1.10.3 built by gcc 4.4.7 20120313 (Red Hat 4.4.7-16) (GCC) built with OpenSSL 1.1.0e 16 Feb 2017 TLS SNI support enabled configure arguments: --prefix=/usr/local/nginx2 --with-http_stub_status_module --with-http_ssl_module --with-http_realip_module --with-http_gzip_static_module --with-http_stub_status_module --with-http_stub_status_module --with-http_v2_module --with-openssl=/tmp/install/openssl-1.1.0e --with-http_v2_module

(2)下載要升級的nginx版本

[[email protected] soft]# wget http://nginx.org/download/nginx-1.12.1.tar.gz
--2017-07-17 15:41:24--  http://nginx.org/download/nginx-1.12.1.tar.gz
正在解析主機 nginx.org... 206.251.255.63, 95.211.80.227, 2001:1af8:4060:a004:21::e3, ...
正在連接 nginx.org|206.251.255.63|:80... 已連接。
已發出 HTTP 請求,正在等待回應... 200 OK
長度:981093 (958K) [application/octet-stream]
正在保存至: “nginx-1.12.1.tar.gz”
90% [=================================================>     ] 892,302      265K/s eta(英國中部時100%[======================================================>] 981,093      291K/s   in 3.3s    
2017-07-17 15:41:28 (291 KB/s) - 已保存 “nginx-1.12.1.tar.gz” [981093/981093])

(3)解壓ningx下載的壓縮包編譯make,切記不要make install。

[[email protected] soft]# tar xf nginx-1.12.1.tar.gz 
[[email protected] soft]# cd nginx-1.12.1
[[email protected] nginx-1.12.1]# ls
auto  CHANGES  CHANGES.ru  conf  configure  contrib  html  LICENSE  man  README  src
[[email protected] nginx-1.12.1]# ./configure  --prefix=/usr/local/nginx2 --with-http_stub_status_module --with-http_ssl_module --with-http_realip_module --with-http_gzip_static_module --with-http_stub_status_module --with-http_stub_status_module --with-http_v2_module --with-openssl=/tmp/install/openssl-1.1.0e --with-http_v2_module
checking for OS
 + Linux 2.6.32-358.el6.x86_64 x86_64
checking for C compiler ... found
 + using GNU C compiler
 + gcc version: 4.4.7 20120313 (Red Hat 4.4.7-17) (GCC) 
checking for gcc -pipe switch ... found
checking for -Wl,-E switch ... found
checking for gcc builtin atomic operations ... found
checking for C99 variadic macros ... found
checking for gcc variadic macros ... found
checking for gcc builtin 64 bit byteswap ... found
checking for unistd.h ... found
checking for inttypes.h ... found
checking for limits.h ... found
checking for sys/filio.h ... not found
checking for sys/param.h ... found
checking for openat(), fstatat() ... found
checking for getaddrinfo() ... found
checking for PCRE library ... found
checking for PCRE JIT support ... found
checking for zlib library ... found
creating objs/Makefile
Configuration summary
  + using system PCRE library
  + using OpenSSL library: /tmp/install/openssl-1.1.0e
  + using system zlib library
  nginx path prefix: "/usr/local/nginx2"
  nginx binary file: "/usr/local/nginx2/sbin/nginx"
  nginx modules path: "/usr/local/nginx2/modules"
  nginx configuration prefix: "/usr/local/nginx2/conf"
  nginx configuration file: "/usr/local/nginx2/conf/nginx.conf"
  nginx pid file: "/usr/local/nginx2/logs/nginx.pid"
  nginx error log file: "/usr/local/nginx2/logs/error.log"
  nginx http access log file: "/usr/local/nginx2/logs/access.log"
  nginx http client request body temporary files: "client_body_temp"
  nginx http proxy temporary files: "proxy_temp"
  nginx http fastcgi temporary files: "fastcgi_temp"
  nginx http uwsgi temporary files: "uwsgi_temp"
  nginx http scgi temporary files: "scgi_temp"
[[email protected] nginx-1.12.1]# make

由於make的時間比較長,需要稍等下。

(4)make編譯完後會在安裝目錄下生成一個objs目錄且在該目錄下有一個nginx執行文件。

[[email protected] nginx-1.12.1]# ls
auto     CHANGES.ru  configure  html     Makefile  objs    src
CHANGES  conf        contrib    LICENSE  man       README
[[email protected] nginx-1.12.1]# ll objs/
總用量 7124
-rw-r--r-- 1 root root   17459 7月  17 15:48 autoconf.err
-rw-r--r-- 1 root root   43530 7月  17 15:48 Makefile
-rwxr-xr-x 1 root root 7152312 7月  17 15:51 nginx
-rw-r--r-- 1 root root    5345 7月  17 15:51 nginx.8
-rw-r--r-- 1 root root    7066 7月  17 15:48 ngx_auto_config.h
-rw-r--r-- 1 root root     657 7月  17 15:48 ngx_auto_headers.h
-rw-r--r-- 1 root root    6242 7月  17 15:48 ngx_modules.c
-rw-r--r-- 1 root root   38232 7月  17 15:51 ngx_modules.o
drwxr-xr-x 9 root root    4096 7月  17 15:48 src

(5)備份原來老的nginx文件

[[email protected] nginx-1.12.1]# mv /usr/local/nginx2/sbin/nginx /usr/local/nginx2/sbin/nginx.bak
[[email protected] nginx-1.12.1]# cp objs/nginx
nginx    nginx.8  
[[email protected] nginx-1.12.1]# cp objs/nginx  /usr/local/nginx2/sbin/

[[email protected] nginx-1.12.1]# /usr/local/nginx2/sbin/nginx -t
nginx: the configuration file /usr/local/nginx2/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx2/conf/nginx.conf test is successful

(6)使用make upgrade替換老的nginx進程

[[email protected] nginx-1.12.1]# make upgrade

/usr/local/nginx2/sbin/nginx -t

nginx: the configuration file /usr/local/nginx2/conf/nginx.conf syntax is ok

nginx: configuration file /usr/local/nginx2/conf/nginx.conf test is successful

kill -USR2 `cat /usr/local/nginx2/logs/nginx.pid`

sleep 1

test -f /usr/local/nginx2/logs/nginx.pid.oldbin

kill -QUIT `cat /usr/local/nginx2/logs/nginx.pid.oldbin`

(7)執行/usr/local/nginx2/sbin/nginx -V查看nginx最新的版本及編譯的參數

[[email protected] nginx-1.12.1]# /usr/local/nginx2/sbin/nginx -V
nginx version: nginx/1.12.1
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-17) (GCC) 
built with OpenSSL 1.1.0e  16 Feb 2017
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx2 --with-http_stub_status_module --with-http_ssl_module --with-http_realip_module --with-http_gzip_static_module --with-http_stub_status_module --with-http_stub_status_module --with-http_v2_module --with-openssl=/tmp/install/openssl-1.1.0e --with-http_v2_module

至此升級完成。

Nginx平滑升級到最新版本

相關推薦

Nginx平滑升級最新版本

nginx 版本升級(一)簡述: 早上收到nginx最新漏洞的通知,Nginx官方發布最新的安全公告,在Nginx範圍過濾器中發現了一個安全問題(CVE-2017-7529),通過精心構造的惡意請求可能會導致整數溢出並且不正確處理範圍,從而導致敏感信息泄漏。當使用Nginx標準模塊時,如果文件頭

nginx平滑升級

fix conf ins 升級 install body span gin div 下載資源http://nginx.org/download 依賴包:yum -y install gcc pcre-devel openssl-devel tar -zxvf nginx-

nginx平滑升級(線上)

nginxnginx_ngx_cache_purge第三方模塊下載地址,用於清除緩存http://labs.frickle.com/nginx_ngx_cache_purge/編譯安裝參數:--user=www --group=www --add-module=/usr/local/src/ngx_cache

Nginx range filter模塊數字錯誤漏洞修復 (Nginx平滑升級) 【轉】

gre 遠程 adding 重新啟動 manage all 這一 後端服務 ota 對線上生產環境服務器進行漏洞掃描, 發現有兩臺前置機器存在Nginx range filter模塊數字錯誤漏洞, 當使用nginx標準模塊時,攻擊者可以通過發送包含惡意構造range域的he

Linux 升級最新版本openSSH 7.8p

*注意:如果一次安裝失敗,下次安裝前解壓縮的目錄一定要刪除 升級openssh前需要先升級依賴包,教程如下 1、zlib-1.2.11.tar.gz # tar xzvf zlib-1.2.11.tar.gz #cd zlib-1.2.11 # ./configur

ThinkPHP5 遠端程式碼執行漏洞被入侵日誌,升級最新版本解決

2018年12月9日,ThinkPHP團隊釋出了一個補丁更新,修復了一處由於路由解析缺陷導致的程式碼執行漏洞。該漏洞危害程度非常高,預設環境配置即可導致遠端程式碼執行。經過啟明星辰ADLab安全研究員對ThinkPHP的56個小版本的原始碼分析和驗證,確定具體受影響的版本為: ThinkPH

linux 實現centos7線上升級最新版本核心

Kernel  (核心)是作業系統的核心,掌握所有硬體裝置的控制權,也就是說,你所希望計算機幫你完成的各項工作,都需要通過核心的幫助才能完成,當然,如果我們想完成的某個功能是核心沒有的,則核心不會操控計算機來幫你完成這項工作,如果我們想讓核心去完成這個功能,那麼我們就必須將該

linux 實現centos7在線升級最新版本內核

init進程 config 安裝 希望 repo lis 開機 計算 grub Kernel (內核)是操作系統的核心,掌握所有硬件設備的控制權,也就是說,你所希望計算機幫你完成的各項工作,都需要通過內核的幫助才能完成,當然,如果我們想完成的某個功能是內核沒有的,則內核不

ABP開發框架前後端開發系列---(16)ABP框架升級最新版本的經驗總結

有一小段時間沒有持續升級ABP框架了,最近就因應客戶的需要,把ABP框架進行全面的更新,由於我們應用的ABP框架,基礎部分還是會使用官方的內容,因此升級的時候需要把官方基礎ABP的DLL進行全面的更新,以及對應的引用DLL也同步更新才行。不過在升級過程中還是很多奇奇怪怪的問題,本篇隨筆針對出現的情況進行一系列

nginx通過shell腳本平滑升級版本

ima term tar func () follow ech check 是否 1、簡介  有時候nginx發布了新BUG或者添加了新的功能時,想要更新的時候服務又不能中斷,這時候就要用到nginx的平滑升級了。   該腳本同樣適用於添加新擴展,添加新擴展的時候只需要把更

nginx平滑升級

http 代理 entos 簡單 端口 情況 影響 需要 監聽事件 一:解釋nginx的平滑升級 隨著nginx越來越流行,並且nginx的優勢也越來越明顯,nginx的版本叠代也來時加速模式,1.9.0版本的nginx更新了許多新功能,例如stream四層代理功能,伴隨著

ng4中使用echart;升級腳手架到最新版本

clean 升級 init img ren his {} class 技術 1.首先創建echarts指令 //echart.directive.ts important { Directive,ElementRef,Input,Ouput,Onchanges,On

struts2升級最新版本2.5.12

web.xml 創建 pac prop 區別 配置 err tom work 由於公司之前很早的項目服務器老是被黑,數據庫遭到攻擊,原因是利用struts2漏洞,上傳一些東西,簡直是亂搞,之前的struts版本太低。後來用想過換個後臺,但是改動太大,還是升級到最新版本的st

CentOS 6.6升級OpenSSH到最新版本7.5.p1

linux ssh升級本文主要簡單記錄CentOS 6.6下OpenSSH升級步驟,安裝編譯所需工具包yum install gcc pam-devel zlib-devel一、升級原因7.4以下openssh版本存在嚴重漏洞:1.OpenSSH 遠程權限提升漏洞(CVE-2016-10010) 2.Ope

CentOS7 yum 安裝 Nginx最新版本

centos7 yum 安裝 nginx最新版本下載對應當前系統版本的nginx包(package)# wget http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm建立nginx

Mac升級bash到最新版本

util 修改 term all 系統目錄 ebo local sta 原來 mac自帶的bash為3.2版本,而最新的bash是4.9,需要升級了,才能支持關聯數組等新特性。 1、brew install bash 2、安裝到/usr/local/bin/bash裏面。可

mac os angular 升級最新版本

outer types mac ping com mic common log ica p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Helvetica Neue"; color: #454545 } span.

CentOS7.4—最新版本nginx調優

Centos7.4 最新版本 nginx 調優 Nginx調優目錄第一部分 優化版本信息第二部分 保持連接第三部分 優化進程數第四部分 日誌分割第五部分 網頁壓縮 Nginx安裝過程不再這裏展示,請參照http://blog.51cto.com/12227558,下面直接進入調優 第

修復OpenSSL漏洞 升級OpenSSL版本 nginx靜態編譯ssl模塊

nginx openssl背景 OpenSSL全稱為Secure Socket Layer,是Netscape所研發,利用數據加密(Encryption)作技術保障在Internet上數據傳輸的安全。可確保數據在網絡上的傳輸不會被竊聽及截取。 當然,OpenSSL是一個強大的密碼庫,我們在

平滑升級你的Nginx

michael ins 跳過 ces auto down 可執行文件 manage too 1、概述(可以直接跳過看第2部分) Nginx方便地幫助我們實現了平滑升級。其原理簡單概括,就是: (1)在不停掉老進程的情況下,啟動新進程。 (2)老進程負責處理仍然沒有處理完