Nginx 安全漏洞

这篇具有很好参考价值的文章主要介绍了Nginx 安全漏洞。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Nginx 安全漏洞

漏洞引发的威胁:

  • CVE-2021-23017 nginx存在安全漏洞,该漏洞源于一个离一错误在该漏洞允许远程攻击者可利用该漏洞在目标系统上执行任意代码。受影响版本:0.6.18-1.20.0
  • CVE-2019-9511,CVE-2019-9513,CVE-2019-9516 Nginx 1.9.51 至 16.0版本及1.17.2.版本中的HTTP/2实现中存在拒绝服务漏洞,攻击者以多个数据流请求特定资源上的大量数据,通过操纵窗口大小和流优先级,强迫服务器将数据排列在1字节的块中,导致CPU及内存资源耗尽,造成拒绝服务。
  • CVE-2018-16844 Nginx 1.15.5之前的版本和1.14.1版本中的HTTP/2实现过程中存在安全漏洞。远程攻击者可通过发送恶意的请求利用该漏洞造成拒绝服务。
  • CVE-2018-16843 nginx 1.15.6和1.14.1之前的版本的HTTP/2实现过程中存在安全漏洞。攻击者可利用该漏洞消耗大量的内存空间。
  • CVE-2018-16845 Nginx 1.15.5及之前的版本和1.14.1版本中的ngx_http_mp4_module组件存在内存泄露漏洞,该漏洞源于程序没有正确处理MP4文件。远程攻击者可利用该漏洞获取敏感信息或造成拒绝服务。
  • CVE-2017-20005 Nginx在1.13.6之前存在安全漏洞,该漏洞源于当autoindex模块遇到这个文件时,会导致一个整数溢出。

解决方案

一、查看当前版本
[root@localhost ~]# /usr/local/nginx/sbin/nginx -v
nginx version: nginx/1.2.9
二、官网下载最新版本

http://nginx.org/en/download.html
https://nginx.org/

三、备份配置文件
[root@localhost ~]# cp -r /usr/local/nginx/ /usr/local/nginx_bak/
[root@localhost ~]# ls /usr/local/nginx
nginx/     nginx_bak/
四、上传新版本的nginx,先解压,配置,编译。

不可以使用make && make install直接编译安装,不然会覆盖原来版本产生多种问题文章来源地址https://www.toymoban.com/news/detail-444156.html

[root@localhost ~]# tar zxf nginx-1.20.2.tar.gz 
[root@localhost ~]# cd nginx-1.20.2/
[root@localhost nginx-1.20.2]# ./configure
[root@localhost nginx-1.20.2]# make
五、复制新版本的启动文件
[root@localhost nginx-1.20.2]# cd /usr/local/nginx/sbin/
[root@localhost sbin]# mv nginx nginx.old
[root@localhost sbin]# cp /root/nginx-1.20.2/objs/nginx /usr/local/nginx/sbin/
六、回到新版本安装目录进行平滑升级
[root@localhost sbin]# cd /root/nginx-1.20.2/
[root@localhost nginx-1.20.2]# make upgrade
/usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
kill -USR2 `cat /usr/local/nginx/logs/nginx.pid`
sleep 1
test -f /usr/local/nginx/logs/nginx.pid.oldbin
kill -QUIT `cat /usr/local/nginx/logs/nginx.pid.oldbin`

出现这个提示pid文件位置不一致,那就需要换一种方式

[root@localhost nginx-1.20.2]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

可以查看一下 nginx.pid位置

[root@localhost nginx-1.20.2]# find / -name nginx.pid
/usr/local/nginx/logs/nginx.pid
[root@localhost nginx-1.20.2]# kill -USR2 `cat /usr/local/nginx/logs/nginx.pid`
现在会在/usr/local/nginx/logs/下生成一个nginx.pid.oldbin的pid文件
[root@localhost nginx-1.20.2]# kill -QUIT `cat /usr/local/nginx/logs/nginx.pid.oldbin`
[root@localhost nginx-1.20.2]# /usr/local/nginx/sbin/nginx -v
nginx version: nginx/1.20.2
升级结束 新版本为1.20.2

到了这里,关于Nginx 安全漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 使用nginx处理的一些安全漏洞

    HTTP X-Permitted-Cross-Domain-Policies 响应头缺失 Nginx的nginx.conf中location下配置: HTTP Referrer-Policy 响应头缺失 Nginx的nginx.conf中location下配置: HTTP X-Content-Type-Options 响应头缺失 Nginx的nginx.conf中location下配置: HTTP X-Download-Options 响应头缺失 Nginx的nginx.conf中location下配置: HTTP Content-Security-Po

    2023年04月08日
    浏览(38)
  • 中间件安全—Nginx常见漏洞

      在上篇中间件安全—Apache常见漏洞中,并未对中间件漏洞进行解释,这里补充一下。   所谓的中间件漏洞就是并非是由于代码程序上设计存在缺陷而导致的漏洞,而是属于应用部署中环境配置不当或使用不当而导致的漏洞,同时这方面的漏洞也是最容易被管理员忽略的

    2024年02月09日
    浏览(46)
  • Nginx 安全漏洞(CVE-2022-3638)处理

    近日,在一起安全扫描中,发现系统存在Nginx 安全漏洞(CVE-2022-3638)。漏洞描述如下:nginx中发现的该漏洞会影响涉及IPv4连接断开的ngx_resolver.c文件某些未知处理过程,攻击者利用该漏洞在发起远程攻击,导致这个过程中触发内存泄漏。nginx 1.23.2之前版本存在安全漏洞。 背景

    2023年04月13日
    浏览(43)
  • 安全中级2:nginx的中间件漏洞

    目录 一、nginx解析php的流程 1.原理    2.CGI、FastCGI、PHP-FPM、PHP-CG、WrapperI的定义 二、Fastcgi协议 1.Fastecgi Record 2.Fastcgi Type 3.PHP-FPM(FastCGI进程管理器) 4.总结FastCGI解析的流程 三、nginx配置错误导致的漏洞 1.CRLF注入漏洞($uri解码漏洞,换行符导致的注入漏洞) (1)原理 (2)利用

    2024年02月09日
    浏览(46)
  • 网络&信息安全:nginx漏洞收集(升级至最新版本)

    💖The Begin💖点点关注,收藏不迷路💖 漏洞名称: nginx 越界写入漏洞(CVE-2022-41742) 风险等级: 高 高可利用: 否 CVE编号: CVE-2022-41742 端口(服务): 8000(nginx) 风险描述: NGINX 在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文

    2024年04月11日
    浏览(50)
  • 宝塔严重未知安全性漏洞(宝塔面板或Nginx异常)

    问题简述 论坛上的帖子 https://www.bt.cn/bbs/thread-105054-1-1.html https://www.bt.cn/bbs/thread-105085-1-1.html https://hostloc.com/thread-1111691-1-1.html 数据库莫名被删 https://www.bt.cn/bbs/thread-105067-1-1.html 以下内容来自群友消息: 速报:宝塔面板疑似出现全新高危漏洞,目前已出现大面积入侵 影响版本

    2024年02月09日
    浏览(40)
  • 网络安全--linux下Nginx安装以及docker验证标签漏洞

    目录 一、Nginx安装  二、docker验证标签漏洞 1.首先创建 Nginx 的目录并进入: 2.下载 Nginx 的安装包,可以通过 FTP 工具上传离线环境包,也可通过 wget 命令在线获取安装包: 没有 wget 命令的可通过 yum 命令安装: 3.解压 Nginx 的压缩包: 4.下载并安装 Nginx 所需的依赖库和包:

    2024年02月11日
    浏览(48)
  • 中间件安全-CVE复现&IIS&Apache&Tomcat&Nginx漏洞复现

    中间件及框架列表: IIS,Apache,Nginx,Tomcat,Docker,Weblogic,JBoos,WebSphere, Jenkins ,GlassFish,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp, Spring,Flask,jQuery等 1、中间件-IIS-短文件解析蓝屏等 2、中间件-Nginx-文件解析命令执行等 3、中间件-Apache-RCE目录遍历文件解析等 4、中间件

    2024年02月07日
    浏览(50)
  • 服务攻防-中间件安全&CVE复现&IIS&Apache&Tomcat&Nginx漏洞复现

    目录 一、导图 二、ISS漏洞 中间件介绍 1、短文件 2、文件解析 3、HTTP.SYS 4、cve-2017-7269 三、Nignx漏洞 中间件介绍 1、后缀解析漏洞 2、cve-2013-4547 3、cve-2021-23017 无 EXP 4、cve-2017-7529 意义不大 四、Apache漏洞 中间件介绍 1、漏洞版本简介 2、cve-2021-42013 3、cve-2021-41773 4、cve-2017-1571

    2024年02月10日
    浏览(63)
  • 常见的Web安全漏洞有哪些,Web安全漏洞常用测试方法介绍

    Web安全漏洞是指在Web应用程序中存在的可能被攻击者利用的漏洞,正确认识和了解这些漏洞对于Web应用程序的开发和测试至关重要。 一、常见的Web安全漏洞类型: 1、跨站脚本攻击(Cross-Site Scripting,XSS):攻击者通过向Web页面注入恶意脚本来执行恶意操作,例如窃取用户敏感信

    2024年02月11日
    浏览(56)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包