Nginx

如何修復 debian jessie 上的 nginx 的 OpenSSL Padding Oracle 漏洞 (CVE-2016-2107)?

  • August 1, 2020

據我了解,升級openssl(很久以前完成,現在再次安裝所有可用更新(沒有openssl))並重新啟動nginx就足夠了。我什至試圖完全停止 nginx(用 驗證它ps)並重新啟動它。

但是 ssllabs 仍然告訴我,我很脆弱。我還需要做什麼,或者是什麼導致它仍然脆弱?

版本:

ii  nginx                              1.9.10-1                          all          small, powerful, scalable web/proxy server
ii  nginx-common                       1.9.10-1                          all          small, powerful, scalable web/proxy server - common files
ii  nginx-full                         1.9.10-1                          amd64        nginx web/proxy server (standard version)
ii  openssl                            1.0.1t-1+deb8u2                   amd64        Secure Sockets Layer toolkit - cryptographic utility

ii  libssl-dev:amd64                   1.0.1t-1+deb8u2                   amd64        Secure Sockets Layer toolkit - development files
ii  libssl-doc                         1.0.1t-1+deb8u2                   all          Secure Sockets Layer toolkit - development documentation
ii  libssl1.0.0:amd64                  1.0.1t-1+deb8u2                   amd64        Secure Sockets Layer toolkit - shared libraries
ii  libssl1.0.2:amd64                  1.0.2f-2                          amd64        Secure Sockets Layer toolkit - shared libraries

與nginx相關的lsof

lsof 2>/dev/null |grep -i libssl|grep nginx
nginx     17928              root  mem       REG              251,0    430560    2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
nginx     17929          www-data  mem       REG              251,0    430560    2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
nginx     17930          www-data  mem       REG              251,0    430560    2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
nginx     17932          www-data  mem       REG              251,0    430560    2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
nginx     17933          www-data  mem       REG              251,0    430560    2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2

我得到了它。

certbot從 debian 不穩定安裝,它安裝了1.0.2f-2. 不穩定被固定到優先級“-100”(除非使用 請求,否則不要從不穩定安裝-t unstable)。這意味著版本介於 jessie 版本1.0.0X-Y和目前的不穩定版本之間1.0.2.h-1。這阻止了在不穩定中升級到下一個版本,而穩定中的升級是相對於版本號的“舊”版本。

安裝必要的更新(如評論中的https://serverfault.com/users/126632/michael-hampton所建議)似乎可以解決我的問題。

apt-get update && apt-get upgrade

引用自:https://serverfault.com/questions/788773