2. 程式人生 > >Nginx range filter模塊數字錯誤漏洞修復 (Nginx平滑升級) 【轉】

Nginx range filter模塊數字錯誤漏洞修復 (Nginx平滑升級) 【轉】

阿新 發佈:2018-11-21
gre 遠程 adding 重新啟動 manage all 這一 後端服務 ota

對線上生產環境服務器進行漏洞掃描, 發現有兩臺前置機器存在Nginx range filter模塊數字錯誤漏洞, 當使用nginx標準模塊時,攻擊者可以通過發送包含惡意構造range域的header 請求,來獲取響應中的緩存文件頭部信息。該漏洞存在於Nginx 1.13.3以下版本中, 只要Ningx開啟了緩存功能, 攻擊者即可發送惡意請求進行遠程攻擊造成信息泄露。也就是說當Nginx服務器使用代理緩存的情況下, 緩存文件頭可能包含後端服務器的真實IP地址或其它敏感信息,攻擊者就可以利用該漏洞拿到這些敏感信息,從而導致信息泄露。故此漏洞存在安全隱患, 需要盡快修復.

該漏洞修復方案一:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 找到nginx的源碼解壓包, 在nginx的源碼包中找到ngx_http_range_filter_module.c [root@dtin ~]# cd /data/software/nginx-1.12.2 [root@dtin nginx-1.12.2]# vim ./src/http/modules/ngx_http_range_filter_module.c ....... if (suffix) { start = content_length - end; end = content_length - 1;
} ....... 將上面ngx_http_range_filter_module.c源碼文件中的"start = content_length - end;"改為“start = (end < content_length) ? content_length - end : 0;" 即改為: [root@dtin nginx-1.12.2]# vim ./src/http/modules/ngx_http_range_filter_module.c ....... if (suffix) { start = (end < content_length) ? content_length - end : 0;
end = content_length - 1; } ....... 接著重新編譯nginx,並進行替換即可。

該漏洞修復方案一 (推薦這一種)

由於是生產環境, 線上業務不能停, 故需要進行Nginx平滑升級, 升級過程中服務不能中斷. Nginx平滑升級原理如下介紹:
多進程模式下的請求分配方式
Nginx默認工作在多進程模式下,即主進程(master process)啟動後完成配置加載和端口綁定等動作,fork出指定數量的工作進程(worker process),這些子進程會持有監聽端口的文件描述符(fd),並通過在該描述符上添加監聽事件來接受連接(accept)。

信號的接收和處理
Nginx主進程在啟動完成後會進入等待狀態,負責響應各類系統消息,如SIGCHLD、SIGHUP、SIGUSR2等。

Nginx信號
主進程支持的信號
- TERM, INT: 立刻退出
- QUIT: 等待工作進程結束後再退出
- KILL: 強制終止進程
- HUP: 重新加載配置文件,使用新的配置啟動工作進程,並逐步關閉舊進程。
- USR1: 重新打開日誌文件
- USR2: 啟動新的主進程,實現熱升級
- WINCH: 逐步關閉工作進程

工作進程支持的信號
- TERM, INT: 立刻退出
- QUIT: 等待請求處理結束後再退出
- USR1: 重新打開日誌文件

=================nginx平滑升級操作記錄====================

備份之前安裝的nginx (其實主要備份的是sbin/nginx 和 conf配置目錄, 這裏我全部備份)

[app@web-node01 ~]# /data/nginx/sbin/nginx -v nginx version: nginx/1.12.2 

[app@web-node01 ~]# cp -r /data/nginx /data/nginx.old
[app@web-node01 ~]# ll /data/
total 0
drwxr-xr-x 10 app app 133 Sep 15 22:31 nginx
drwxr-xr-x 10 app app 133 Nov 15 15:21 nginx.old
 
下載nginx1.14.1的安裝包, 解壓並進行編譯安裝. 安裝路徑需與舊版一致
[app@web-node01 software]# ll nginx-1.14.1.tar.gz
-rw-rw-r-- 1 app app 1014040 Nov 15 11:04 nginx-1.14.1.tar.gz
[app@web-node01 software]# tar -zvxf nginx-1.14.1.tar.gz
[app@web-node01 software]# cd nginx-1.14.1/
[app@web-node01 nginx-1.14.1]# ./configure --prefix=/data/nginx --user=app --group=app --with-http_ssl_module --with-http_flv_module --with-http_stub_status_module --with-http_gzip_static_module --with-pcre --with-stream
[app@web-node01 nginx-1.14.1]# make && make install
 
發送USR2信號
向主進程發送USR2信號,Nginx會啟動一個新版本的master進程和工作進程,和舊版一起處理請求
[app@web-node01 nginx-1.14.1]# ps -ef|grep nginx
app       1899 30168  0 15:25 pts/0    00:00:00 grep --color=auto nginx
app      19233 22333  0 Sep21 ?        00:00:00 nginx: worker process
app      19234 22333  0 Sep21 ?        00:00:00 nginx: worker process
app      19235 22333  0 Sep21 ?        00:00:00 nginx: worker process
app      19236 22333  0 Sep21 ?        00:00:01 nginx: worker process
app      19237 22333  0 Sep21 ?        00:00:00 nginx: worker process
app      19238 22333  0 Sep21 ?        00:00:01 nginx: worker process
app      19239 22333  0 Sep21 ?        00:00:05 nginx: worker process
app      19240 22333  0 Sep21 ?        00:00:01 nginx: worker process
app      19241 22333  0 Sep21 ?        00:00:27 nginx: cache manager process
root     22333     1  0 Sep15 ?        00:00:00 nginx: master process /data/nginx/sbin/nginx
 
[app@web-node01 nginx-1.14.1]# kill -USR2 22333           
 
[app@web-node01 nginx-1.14.1]# ps -ef|grep nginx   
root      1911 22333  0 15:26 ?        00:00:00 nginx: master process /data/nginx/sbin/nginx
app       1912  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1913  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1914  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1915  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1916  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1917  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1918  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1919  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1920  1911  0 15:26 ?        00:00:00 nginx: cache manager process
app       1921  1911  0 15:26 ?        00:00:00 nginx: cache loader process
app       1923 30168  0 15:26 pts/0    00:00:00 grep --color=auto nginx
app      19233 22333  0 Sep21 ?        00:00:00 nginx: worker process
app      19234 22333  0 Sep21 ?        00:00:00 nginx: worker process
app      19235 22333  0 Sep21 ?        00:00:00 nginx: worker process
app      19236 22333  0 Sep21 ?        00:00:01 nginx: worker process
app      19237 22333  0 Sep21 ?        00:00:00 nginx: worker process
app      19238 22333  0 Sep21 ?        00:00:01 nginx: worker process
app      19239 22333  0 Sep21 ?        00:00:05 nginx: worker process
app      19240 22333  0 Sep21 ?        00:00:01 nginx: worker process
app      19241 22333  0 Sep21 ?        00:00:27 nginx: cache manager process
root     22333     1  0 Sep15 ?        00:00:00 nginx: master process /data/nginx/sbin/nginx
 
發送WITCH信號
向原Nginx主進程發送WINCH信號,它會逐步關閉其下的工作進程(主進程不退出),這時所有請求都會由新版Nginx處理.
[app@web-node01 nginx-1.14.1]# kill -WITCH 22333         //如果這個命令報錯,則可以忽略, 在最後一步直接kill掉原來Nginx主進程的pid即可.
 
發送HUP信號 (特別註意: 這一步是回退, 如果不回退, 則直接忽略這一步即可)
如果這時需要回退,可向原Nginx主進程發送HUP信號,它會重新啟動工作進程, 仍使用舊版配置文件 。
然後可以將新版Nginx進程殺死(使用QUIT、TERM、或者KILL)
[app@web-node01 nginx-1.14.1]# kill -HUP 22333
 
升級完畢
如果不需要回滾,可以將原Nginx主進程殺死(使用QUIT、TERM、或者KILL),至此完成熱升級。
 
[app@web-node01 nginx-1.14.1]# ps -ef|grep nginx
root      1911 22333  0 15:26 ?        00:00:00 nginx: master process /data/nginx/sbin/nginx
app       1912  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1913  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1914  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1915  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1916  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1917  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1918  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1919  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1920  1911  0 15:26 ?        00:00:00 nginx: cache manager process
app       2394 30168  0 15:33 pts/0    00:00:00 grep --color=auto nginx
app      19233 22333  0 Sep21 ?        00:00:00 nginx: worker process
app      19234 22333  0 Sep21 ?        00:00:00 nginx: worker process
app      19235 22333  0 Sep21 ?        00:00:00 nginx: worker process
app      19236 22333  0 Sep21 ?        00:00:01 nginx: worker process
app      19237 22333  0 Sep21 ?        00:00:00 nginx: worker process
app      19238 22333  0 Sep21 ?        00:00:01 nginx: worker process
app      19239 22333  0 Sep21 ?        00:00:05 nginx: worker process
app      19240 22333  0 Sep21 ?        00:00:01 nginx: worker process
app      19241 22333  0 Sep21 ?        00:00:27 nginx: cache manager process
root     22333     1  0 Sep15 ?        00:00:00 nginx: master process /data/nginx/sbin/nginx
 
[app@web-node01 nginx-1.14.1]# sudo kill -9 19233 19234 19235 19236 19237 19238 19239 19240 19241 22333
 
[app@web-node01 nginx-1.14.1]# ps -ef|grep nginx
root      1911     1  0 15:26 ?        00:00:00 nginx: master process /data/nginx/sbin/nginx
app       1912  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1913  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1914  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1915  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1916  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1917  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1918  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1919  1911  0 15:26 ?        00:00:00 nginx: worker process
app       1920  1911  0 15:26 ?        00:00:00 nginx: cache manager process
app       2496 30168  0 15:35 pts/0    00:00:00 grep --color=auto nginx
 
[app@web-node01 ~]# /data/nginx/sbin/nginx -v
nginx version: nginx/1.14.1

Nginx range filter模塊數字錯誤漏洞修復 (Nginx平滑升級) 【轉】

相關推薦

Nginx range filter數字錯誤漏洞修復 (Nginx平滑升級)

gre 遠程 adding 重新啟動 manage all 這一 後端服務 ota 對線上生產環境服務器進行漏洞掃描, 發現有兩臺前置機器存在Nginx range filter模塊數字錯誤漏洞, 當使用nginx標準模塊時,攻擊者可以通過發送包含惡意構造range域的he

Nginx集群

oca ocs p s ref con document sta 配置 red ngx_http_upstream_module模塊是定義一組服務器的,可以是proxy_pass, fastcgi_pass, uwsgi_pass, scgi_pass, 和 memcach

centos6.8配置php-fpm(php已在apache中以形式運行,nginx中同時以fastcgi運行)

-c mnt sock script 端口 cert erro 檢查 配置 location ~ \.php(.*)$ { root /mnt/www/wenyin; fastcgi_pass 127.0.0.1:9

nginx添加與https支持

web實例1:為已安裝nginx動態添加模塊以安裝rtmp媒流模塊為例:1)下載第三方模塊到[[email protected] nginx-1.8.1]# git clone https://github.com/arut/nginx-rtmp-module.git2)查看nginx編譯安裝時安裝

使用nginx的ngx_upstream_jdomain實現k8s容器的負載均衡

提高 max 部署 負載均衡 後來 span spa dir out 使用背景最近一直在準備k8s上線事宜,目前已經在測試環境中全面部署並通過壓力測試環境檢驗。離正式上線基本只剩下時間問題。我們目前測試環境中的容器負載均衡大量使用到了nginx,就是借助了ngx_upstr

nginx學習http_access_module

pre bsp 自定義 for html index 局限 學習 ima location ~ ^/1.html { root /opt/app/code; deny XXXXX; #這個ip不能訪問1.html

Nginx 學習筆記(五)nginx-vod-module

filename star rec 上啟 本地 就是 gdb 裸奔 ted nginx-vod-module 一、編譯 ./configure --user=www --group=www --prefix=/usr/local/openresty --with-debu

nginx中Geoip_module的使用

quest roo processes 全局 目錄 user end pos 配置 nginx中Geoip_module模塊的使用 1.安裝模塊,nginx也是通過yum安裝 yum install nginx-module-geoip -y # 可以看到

Nginx的stub_status的作用及配置文件修改

accept 相關 onf 效率 and 指令 活動 代碼 重啟 ginx中的stub_status模塊主要用於查看Nginx的一些狀態信息. 本模塊默認是不會編譯進Nginx的,如果你要使用該模塊,則要在編譯安裝Nginx時指定: 復制代碼 代碼如下: ./configu

nginx增加編譯

user -i 目錄 工作 sni bash toolbar mil 簡單 Nginx平滑增加編譯模塊 由於需要生產環境的需求,現需要對原nginx增加stream模塊功能,雖然過程很簡單,但是也做一個記錄以備查看。具體操作過程整理如下:一、查看Nginx原編譯參數[

linux 下安裝 nginx 加 rtmp

rtmplinux 與 mac 差不多主要是 make 一般報./configure: error: SSL modules require the OpenSSL library. 解決Centos需要安裝openssl-develUbuntu則需要安裝:sudo apt-get install libss

mac 下安裝 nginx 加 rtmp

rtmpmac 目前只能通過手動安裝1.下載 nginx 這裏建議去官網下。同時不要下最最新的 。 我在 git 上下的 nginx conf 時沒有找到文件 原因是沒有下載完或者本就 git 上文件不完整 。2.下載nginx-rtmp-module 這個 git 上下載就好 3.安裝 其實nginx-

雲服務上使用神奇的nginx --with-stream開啟mysql外網地址

nginx --with-stream模 因為有時候有那麽一個需求,需要雲數據庫開放外網地址,但是有個別雲運營商是沒有提供這個操作的,經過幾番頭腦風暴後,想起了nginx上又一個--with-stream模塊可以把內網ip端口映射到外網地址去!這不就解決了這個需求啦嗎!!!首先查看nginx有沒有這個模

Nginx http核心的內置變量

Nginx http核心模塊的內置變量$uri: 當前請求的uri,不帶參數 $request_uri: 請求的uri,帶完整的參數 $host: http請求報文中的host首部;如果請求中沒有host首部,則以處理此請求中虛擬主機的主機名代替; $hostname: 運行nginx服務的服務器主機名 $r

windows10 vs2015編譯 帶nginx-rtmp-module 的32位nginx

clone ldd program files 指定 sed log ria bz2 1 下載必要軟件 從 http://xhmikosr.1f0.de/tools/msys/下載msys:http://xhmikosr.1f0.de/tools/msys/MSYS_Mi

基於nginx-rtmp-module實現的HTTP-FLV直播nginx-http-flv-module)

發現 app1 多播 git app 命令 避免 put 編譯 本文後續的內容將在這裏更新:《基於nginx-rtmp-module模塊實現的HTTP-FLV直播模塊(nginx-http-flv-module)續》。註意:下文的配置很多已經不能用了,因為現在的實現跟早期

(超簡單)Nginx狀態統計

詳細 TE log 成功 prefix 由於 sha 源碼包 usr 前面簡單介紹了Nginx的手動編譯安裝過程,詳細過程請參見Nginx服務搭建;而Nginx內置了狀態統計模塊,用來反饋當前的web訪問情況,那麽該如何開啟Nginx內置狀態統計模塊呢?且我們該如何通過客戶

NGINX 之 狀態實戰 之五

stub gcc 功能 allow deny -- dex conf error 1、檢查NGINX是否安裝了狀態模塊 [root@localhost nginx-1.6.3]# ./sbin/nginx -V #--with-http_stub_status

Nginx 自帶構建流媒體服務

gunzip graph linux oot mat zha spdy cli res Nginx 部署流媒體服務 Nginx 平滑升級 參考地址http

Nginx中upstream實現PHP服務器的負載均衡

包括 輪詢 proc 詳細 關聯 code 並且 模塊 ext Nginx中upstream模塊實現PHP服務器的負載均衡 upstream模塊介紹 Nginx 的負載均衡功能依賴於 ngx_http_upstream_module 模塊,所支持的代理方式包括 proxy_