题 升级代理NGINX服务器的内核是否足以阻止CVE-2017-6214的利用?


我们的安全部门最近要求我们升级我们的服务器,以避免可能造成的攻击 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6214

现在,我们有很多这样的服务器,但所有请求都通过NGINX代理。所以,问题是,只升级这个就足够了吗?

据我所知,如果TCP软件包包含一个特殊的URG标志,则该漏洞存在于TCP级别。我是否理解正确,NGINX以下列方式作为代理:

  • 接收TCP包并将它们组合为HTTP请求。
  • 选择适当的后端服务器将其发送给。
  • 发送请求,生成自己的TCP包,哪些是安全的,并且不包含任何易受攻击的信息?或者情况并非如此,NGINX只是重新发送收到的TCP包?

6
2017-09-18 05:42




我怀疑你是对的。我想在您当前的测试服务器上重现该问题,然后查看内核升级是否有帮助。 - Tim
这取决于 Nginx 配置,您能否显示相关配置,如果需要,省略敏感信息? - gf_
为什么不升级所有机器?我假设您运行的操作系统提供安全更新,我认为您正在应用这些安全更新(可能在测试后分阶段推出)?对? - marcelm


答案:


是的,当nginx配置为a时 反向代理 客户端和后端服务器之间没有直接的TCP / IP连接。

Nginx在OSI模型的第7层(应用层)运行,当它接收到有效的HTTP请求时,它将代表客户端将其自己的HTTP请求发送到适当的后端服务器。远程客户端无法操纵nginx与TCP / IP级别的后端服务器之间发生的事情(OSI模型的3/4层)。


8
2017-09-18 06:30



这不一定是真的。这取决于配置 Nginx。很可能用TCP进行TCP / UDP代理 stream 模块。 - gf_
这是对的,但我们没有使用它。所以我想只升级nginx就可以了。 - SPIRiT_1984
@ SPIRiT_1984好吧,所以你很高兴去!祝好运! - gf_