Nginx
如何修復 debian jessie 上的 nginx 的 OpenSSL Padding Oracle 漏洞 (CVE-2016-2107)?
據我了解,升級openssl(很久以前完成,現在再次安裝所有可用更新(沒有openssl))並重新啟動nginx就足夠了。我什至試圖完全停止 nginx(用 驗證它
ps
)並重新啟動它。但是 ssllabs 仍然告訴我,我很脆弱。我還需要做什麼,或者是什麼導致它仍然脆弱?
版本:
ii nginx 1.9.10-1 all small, powerful, scalable web/proxy server ii nginx-common 1.9.10-1 all small, powerful, scalable web/proxy server - common files ii nginx-full 1.9.10-1 amd64 nginx web/proxy server (standard version) ii openssl 1.0.1t-1+deb8u2 amd64 Secure Sockets Layer toolkit - cryptographic utility ii libssl-dev:amd64 1.0.1t-1+deb8u2 amd64 Secure Sockets Layer toolkit - development files ii libssl-doc 1.0.1t-1+deb8u2 all Secure Sockets Layer toolkit - development documentation ii libssl1.0.0:amd64 1.0.1t-1+deb8u2 amd64 Secure Sockets Layer toolkit - shared libraries ii libssl1.0.2:amd64 1.0.2f-2 amd64 Secure Sockets Layer toolkit - shared libraries
與nginx相關的lsof
lsof 2>/dev/null |grep -i libssl|grep nginx nginx 17928 root mem REG 251,0 430560 2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2 nginx 17929 www-data mem REG 251,0 430560 2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2 nginx 17930 www-data mem REG 251,0 430560 2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2 nginx 17932 www-data mem REG 251,0 430560 2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2 nginx 17933 www-data mem REG 251,0 430560 2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
我得到了它。
我
certbot
從 debian 不穩定安裝,它安裝了1.0.2f-2
. 不穩定被固定到優先級“-100”(除非使用 請求,否則不要從不穩定安裝-t unstable
)。這意味著版本介於 jessie 版本1.0.0X-Y
和目前的不穩定版本之間1.0.2.h-1
。這阻止了在不穩定中升級到下一個版本,而穩定中的升級是相對於版本號的“舊”版本。
安裝必要的更新(如評論中的https://serverfault.com/users/126632/michael-hampton所建議)似乎可以解決我的問題。
apt-get update && apt-get upgrade