【Security】Nginx多个版本爆出高危安全漏洞

最新推荐文章于 2024-02-26 16:11:58 发布
原创 最新推荐文章于 2024-02-26 16:11:58 发布 · 2.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx

Nginx爆出高危安全漏洞CVE-2021-23017,建议生产及测试环境升级到1.20.1稳定版或1.21.0开发版。开源镜像仓库软件Harbor的两个组件中使用了Nginx,目前官方最新版本未修复该漏洞。

根据官方曝光,著名的负载均衡和反向代理软件-Nginx-爆出高危安全漏洞,漏洞的CVE编号为CVE-2021-23017

1、开源版本升级说明

  • 生产(或准生产)环境建议升级到1.20.1稳定版(Stable);
  • 测试环境建议升级到1.20.1稳定版(Stable)或者1.21.0开发版(Mainline);

2、商业收费版本升级说明

  • NGINX Plus R23 P1
  • NGINX Plus R24 P1

开源版本下载地址:

http://nginx.org/en/download.html

备注:

开源镜像仓库软件Harbor的两个组件(nginx-photon 和 harbor-portal)中均使用到了Nginx,目前官方的最新版本(2.3.0)中仍未修复该漏洞,建议自行升级这两个镜像中的Nginx。本地虚拟机编译Nginx主程序的时候,需要注意编译的参数需要与镜像中编译Nginx使用到的参数保持一致,且openssl版本也要保持一致。

 以Harbor 2.2.2版本为例,Nginx的编译参数(删除IPV6编译参数,Nginx高版本自动启用IPV6,无需配置此参数)如下:

./configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --add-module=../nginx-njs/njs-0.2.1/nginx

最低0.47元/天 解锁文章
宝塔面板未授权访问漏洞复现
afei001
08-31 1901
目录 1.漏洞概述 2.影响范围 3.风险等级 4.漏洞复现 4.1.环境搭建 4.2.漏洞利用 5.BTSoft安装脚本分析 6.上传一句话拿下主机shell 7.修复建议 1.漏洞概述 2020年8月23日左右,宝塔面板爆出phpmyadmin未授权访问漏洞,攻击者可利用此漏洞越权访问数据库,甚至获取服务器权限。2020年8月23日晚间,宝塔官方紧急推送安全更新,修复了该高危漏洞2.影响范围 受影响版本: 宝塔Windows面板 =...
网安面试题总结_1
最新发布
qq_42041946的博客
06-06 847
#创作灵感#助力网安人员顺利面试。
nginx http/2模块漏洞修复记录
hard_refuse_back的博客
10-25 2122
网站的nginx http/2模块安全漏洞修复记录 解决方案:将旧版本1.14.2升至安全版本1.16.1 1.nginx版本配置查看 [root@node2 ~]# nginx -V nginx version: nginx/1.14.2 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) built with OpenSSL 1.0.2s 28 May 2019 TLS SNI support enabled configure argumen
内网liunx环境升级nginx版本(因为nginx 0.6.x < 1.20.1 1-Byte Memory Overwrite RCE 系统漏洞而升级)
zhongzih的博客
03-08 989
前言 nginx 0.6.x < 1.20.1 1-Byte Memory Overwrite RCE 系统漏洞升级 1.在官网下载最新的nginx2.使用xftp把下载的压缩包放入系统解压 tar -xvf nginx-x.xx.x.tar.gz 3.nginx 配置编译 //进入解压缩后的nginx目录 cd /xxx/nginx-x.xx.x //执行配置 运行configure文件 ./configure //执行编译 make 4.使用xftp备份原先的nginx程序 5.复制新
NGINX漏洞 整理记录
04-06 6943
简单介绍NGINX: Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。 其特点是占有内存少,并发能力强,nginx的并发能力在同类型的网页服务器中表现较好。主要应用在百度,淘宝等高并发请求情形。 漏洞1.NGINX解析漏洞 (1)Nginx文件名逻辑漏洞(CVE-2013-4547) 影响版本Nginx0.8.41~1.4.3 / 1.5.0~1.5.7 漏洞原理:主要原因是nginx错误的..
Nginx漏洞总结
热门推荐
weixin_42345596的博客
10-08 2万+
Nginx简介 Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。 Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较
Nginx-1.14.2 安装(这个有个漏洞,会导致过多的内存消耗,使用nginx 1.17.3版本就可以解决)
Value me 的博客
03-09 2521
系统平台:CentOS7 一、安装编译工具及库文件 yum -y install make zlib zlib-devel gcc-c++ libtool openssl openssl-devel 二、首先要安装 PCRE PCRE 作用是让 Nginx 支持 Rewrite 功能。 1、下载 PCRE 安装包,下载地址: http://downloads.sourceforge.net/p...
Nginx 配置错误导致漏洞
来日可期的博客
09-10 3843
Nginx 是一款常用的开源 Web 服务器软件,但在配置过程中可能会出现一些错误,导致潜在的安全漏洞。CRLF注入漏洞,目录穿越漏洞,add_header被覆盖
零信任策略下K8s安全监控最佳实践(K+)
数据库技术
09-19 779
本文重点将围绕监控防护展开,逐层递进地介绍如何在复杂的分布式容器化环境中借助可观测性平台,持续监控K8s集群,及时发现异常的 API 访问事件、异常流量、异常配置、异常日志等行为,并且结合合理的告警策略建立更主动的安全防御体系。
nginx中间件常见漏洞总结
好好睡觉
02-08 1万+
nginx中间件漏洞nginx路径解析漏洞nginxCRLF漏洞nginx文件名逻辑漏洞nginx路径穿越漏洞nginx http host请求头失效漏洞nginx缓存泄露漏洞
NGINX-RCE:nginx的rce漏洞利用
04-04
NGINX-RCE nginx的rce漏洞利用 怎么运行呢? 首先只需使用gcc gcc expl0itz.c -o expl0itz 然后chmod chmod +x expl0itz 像二进制文件一样运行之后! ./expl0itz
nginx1.4.0漏洞验证
06-21
测试用到的python文件和linux版本nginx1.4.0源码
nginx1.14.2稳定版
12-13
nginx稳定版服务器 解压就能使用 如果闪退的话该端口号即可
Docker nginx安全漏洞(CVE-2021-23017)版本升级到1.20.1
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
08-30 5999
一、背景 安全部门漏扫发现,某业务主机当前版本nginx存在nginx 安全漏洞(CVE-2021-23017)风险,需要升级到最新版本nginx,而本环境业务泡在Docker vm上,因此需要对原生的nginx版本升级和docker中的nginx版本都进行升级; 下面让我们来一起看下nginx升级到1.20.1稳定版的过程。 二、升级过程 2.1、升级前检查 1)备份旧版nginx文件 编译后的二进制文件:mv …/nginx-1.13.2/sbin/nginx nginx_old //新nginx
nginx常见漏洞解析
qtttgeq的博客
04-06 1万+
1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。content-range是什么?range是什么?存在于HTTP请求头中,表示请求目标资源的部分内容,例如请求一个图片的前半部分,单位是byte,原则上从0开始,但今天介绍的是可以设置为负数。range的典型应用场景例如:断点续传、分批请求资源。content-range的表达方式:Range:bytes=0-1024 表示访问第0到第1024字节;
403 Forbidden nginx/1.20.1
猫头虎技术团队:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作+:Libin9iOak ,万粉变现+:优快云WF,猫头虎承诺每年免费为100名C站创作者做账号流量诊断服务!全网搜:猫头虎技术团队,点击文章底部名片或直接私信我一切皆可谈,快找虎哥!
06-08 6453
403 Forbidden nginx/1.20.于是查看nginx日志,路径为/var/log/nginx/error.log。打开日志发现报错Permission denied,详细报错如下: 没有权限?于是找了不少资料,可以通过下面四步排查解决此问题。你可能只是其中之前配置有问题,不一定四个步骤都用上。1.1查看nginx的启动用户,发现是nobody,而为是用root启动的 1.2nginx.config的user改为和启动用户一致, 修改 server_name localhost;
nginx服务器信息泄露漏洞新发现,漏洞预警 | Nginx range过滤器模块存在远程信息泄露漏洞(CVE-2017-7529)...
weixin_29483277的博客
08-06 752
原标题:漏洞预警 | Nginx range过滤器模块存在远程信息泄露漏洞(CVE-2017-7529)Nginx是一款使用非常广泛的高性能Web服务器。Nginx的range过滤器模块中存在安全漏洞,特制的请求可能触发整数溢出,导致泄露敏感信息。在处理HTTP range请求时,特制的Content-Range头字段参数值可以造成Nginx对range的长度计算溢出。如果这时Nginx是通过缓存...
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 2308
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
Harbor搭建与使用,配置漏洞扫描
皓天的博客
06-11 1833
一、前置条件 已经安装docker和docker-compose,不会的查看我的其他博客。 docker-compose安装 二、安装Harbor 下载安装包 安装文件 官方提供两个包Harbor offline installer 和 Harbor online installer,两者的区别的是 Harbor offline installer 里就包含的 Harbor 需要使用的镜像文件,离线包,Harbor online installer需要在线拉取。 解压缩 tar -zxf harbo
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cnskylee

技术分享我是认真的,期待您打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值