升级nginx到1.12.1或1.13.2,解决漏洞编号:CVE-2017-7529

2017年7月11日,Nginx官方发布了一个安全公告,漏洞CVE编号为CVE-2017-7529
http://nginx.org/ 官方可查。

情报来源:

  • https://bbs.aliyun.com/read/321548.html
  • Nginx官方安全公告:http://nginx.org/en/CHANGES
  • http://mailman.nginx.org/pipermail/nginx-announce/2017/000200.html

根据官方说法,解决方法为升级到nginx 1.12.1稳定版,或者1.13.2版。可解决该问题。

由于是刚刚出的新漏洞,目前基本上使用NGINX的用户100%都是存在这个漏洞的。

那么如何平滑升级NGINX到1.12.1或1.13.2呢。

首先查看一下当前的版本。

nginx -V

nginx version: nginx/1.6.2
built by gcc 4.1.2 20080704 (Red Hat 4.1.2-55)
built with OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
TLS SNI support disabled
configure arguments: --prefix=/usr/local/nginx --user=www --group=www --with-htt p_ssl_module --with-http_gzip_static_module --without-mail_pop3_module --without -mail_imap_module --without-mail_smtp_module --without-http_uwsgi_module --witho ut-http_scgi_module

如上所示,我使用的NGINX版本为1.6.2,是需要进行升级的。
另,需要记住黑体字部分的内容,在升级NGINX进行编译安装时,黑体字部分说明了将涉及的组件模块。
由于某1.12.1是稳定版,那么本教程将以升级到1.12.1版本为例。
具体升级步骤如下。(其中NGINX的安装路径会因为原安装位置不同而不同)

wget http://nginx.org/download/nginx-1.12.1.tar.gz
tar zxvf nginx-1.12.1.tar.gz
cd nginx-1.12.1
./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_ssl_module --with-http_gzip_static_module --without-mail_pop3_module --without-mail_imap_module --without-mail_smtp_module --without-http_uwsgi_module --without-http_scgi_module
make
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old
cp objs/nginx /usr/local/nginx/sbin/
make upgrade

最后再重启NGINX即可。可以重新执行nginx -V命令来查看最终的NGINX版本变化。
nginx -V

nginx version: nginx/1.12.1
built by gcc 4.1.2 20080704 (Red Hat 4.1.2-55)
built with OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
TLS SNI support disabled
configure arguments: –prefix=/usr/local/nginx –user=www –group=www –with-htt p_ssl_module –with-http_gzip_static_module –without-mail_pop3_module –without -mail_imap_module –without-mail_smtp_module –without-http_uwsgi_module –witho ut-http_scgi_module

 

点赞

发表评论