关于nginx升级的一些处理(Nginx拒绝服务漏洞(CVE-2018-16843...))

最新推荐文章于 2025-03-14 16:18:29 发布
最新推荐文章于 2025-03-14 16:18:29 发布
阅读量9.7k 收藏 9
点赞数
文章标签: Nginx CVE-2018-16843 Nginx拒绝服务漏洞 Nginx升级
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_15703497/article/details/84025490
版权
本文分享了针对Nginx拒绝服务漏洞的修复经验,详细介绍了从下载最新版本到平滑升级的全过程,包括配置、编译、替换及验证等关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

近期关于Nginx报出拒绝服务漏洞的修复方案,官方给出的回复是建议升级为1.14.1稳定版和1.15.6主线版。因此我对公司内部的nginx做了升级。查了一些平滑升级的方案 但是由于各种环境因素导致不太合适。最后自己总结了一下自己的省级过程:

1、下载nginx.1.14.1.tar.gz压缩包,下载地址 http://nginx.org/en/download.html

 


上传压缩包到linux服务器,目录根据自己的环境设置

1、解压1.14.1.tar.gz
2、进入nginx-1.14.1目录
3、./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --without-http-cache --with-http_ssl_module --with-http_gzip_static_module
4、make 命令编译
5、修改原版本的nginx的运行文件(备份)---我这里直接改了一下名字加了个后缀,不会影响正在运行的Nginx线程
6、将nginx-1.14.1/objs/nginx  拷贝到 nginx/sbin下(5操作改名就是避免覆盖)
7、./nginx -t 试运行  报错[www]   (可能会出现)
8、修改nginx.conf  将user nobody注释去掉
9、再次试运行 successful
10、./nginx -v 查看版本号 确认没问题是1.14.1
11、kill或停止原nginx的线程,停止的话需要用原Nginx运行文件停止,直接Kill掉比较方便
12、启动nginx ---这里启动的是新的nginx运行文件

以上均是个人升级过程,基本适用于所有的linux版本

nginx 的平滑升级
qfyangsheng的博客
09-17 1636
1、为什么要对 nginx 平滑升级 随着nginx越来越流行,并且nginx的优势也越来越明显,nginx的版本迭代也来时加速模式,1.9.0版本的nginx更新了许多新功能,例如stream四层代理功能,伴随着nginx的广泛应用,版本升级必然越来越快,线上业务不能停,此时nginx升级就是运维的工作了 nginx 方便地帮助我们实现了平滑升级。其原理简单概括,就是:(1)在不停掉老进程的情况下,启动新进程。 (2)老进程负责处理仍然没有处理完的请求,但不再接受处理请求。 ...
nginx平滑升级|nginx升级|解决漏洞CVE-2024-7347
一介码夫
10-15 4102
这里的配置选项可以根据你的实际需求进行调整。如果在 1.23.3 版本中有自定义的模块或配置,可以在这个步骤中添加相应的选项以确保新的版本也包含这些功能。笔者服务器 nginx 目前是nginx-1.23.3 安装在/usr/local/nginx。下载 Nginx 1.27.2 安装包,可以从 Nginx 官方网站下载。此次版本为1.27.2 需要保留原来配置。文章内容参考:豆包ai。
Nginx 安全漏洞CVE-2018-16843CVE-2018-16844】解决办法
adanjeep的博客
11-01 4050
Nginx 安全漏洞CVE-2018-16843CVE-2018-16844】解决办法
威胁直击 | NGINX DNS解析程序存高危漏洞,从零基础到精通,收藏这篇就够了!_nginx dns解析程序漏洞(cve-2021-23017)
最新发布
bdfcfff77fa的博客
03-14 357
近日,亚信安全应急响应中心监测到Nginx发布安全公告,修复了Nginx解析器中的一个DNS解析程序漏洞CVE-2021-23017),由于函数ngx_resolver_copy()处理DNS响应时出现了一个off-by-one错误(也称:单字节溢出),这种错误通常在当迭代太多或太少时出现,该漏洞只需网络攻击者伪造指定DNS服务器的UDP数据包就可以导致在堆分配的缓冲区中一个字节被覆盖。所有配置解析器语法的实例都可以通过DNS响应(响应来自Nginx的DNS请求)来触发该漏洞
Nginx 漏洞CVE-2018-16843CVE-2018-16844)
weixin_33950035的博客
11-11 4801
近日 nginx 被爆出存在安全问题,有可能会致使 1400 多万台服务器易遭受 DoS ***。而导致安全问题的漏洞存在于 HTTP/2 和 MP4 模块中。 nginx Web 服务器于 11 月 6 日 发布了新版本 ,用于修复影响 1.15.6, 1.14.1 之前版本的多个安全问题,被发现的安全问题有一种这样的情况 —— 允许潜在的***者触发拒绝服务 (DoS) 状态并访问敏感的信息。...
记录一次 nginx拒绝服务漏洞(CNVD-2018-22805)(CVE-2018-16843) nginx升级
qq_37698777的博客
05-31 815
升级背景:系统 CentOS7 镜像 CentOS-7-x86_64-Everything-2009.iso。将旧版本的nginx二进制文件,重命名一个名字,在这期间,当前运行的nginx进程不会停止,不影响应用运行。注意:如果原来的相关配置文件中,写有和ssl有关的配置信息,需要先暂时注释掉,否则更新时会报错。命令:rpm -Uvh *.rpm --nodeps --force。-U:升级软件,若未软件尚未安装,则安装软件。支持,将Nginx 升级至1.22.1 版本。-h:以"#"号显示安装进度。
解决 Nginx CVE-2018-16843 CVE-2018-16844 CVE-2018-16845 CVE-2017-7529 平滑升级nginx1.14.1
qq_25934401的博客
11-14 1万+
详细情况请参看: Nginx敏感信息泄露漏洞 (CVE-2017-7529) 分析 目前可以修复的方案有三条 1.受影响的版本nginx 0.5.6 - 1.13.2全版本,所以升级到大于1.13.2 就可以解决敏感信息泄露的问题。 2.临时解决方案,在nginx.conf 中配置max_ranges 1 ; 对下载大文件,断点续传会有影响,请酌情使用。 3.使用第三方安全软件进行防御。 升...
Nginx越界读取缓存漏洞 CVE-2017-7529
03-13
Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。缓存的部分存储在文件中,每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件,则Nginx会直接将...
nginx平滑升级nginx升级解决漏洞CVE-2024-7347
m0_74824877的博客
12-30 1167
如果没有看到 Nginx 进程在运行,说明 Nginx 可能没有启动或者已经意外停止了。这里的配置选项可以根据你的实际需求进行调整。如果在 1.23.3 版本中有自定义的模块或配置,可以在这个步骤中添加相应的选项以确保新的版本也包含这些功能。笔者服务器 nginx 目前是nginx-1.23.3 安装在/usr/local/nginx。如果启动成功,Nginx 会自动创建一个新的 pid 文件,其中包含正确的进程 ID。下载 Nginx 1.27.2 安装包,可以从 Nginx 官方网站下载。
解决OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)安全漏洞升级OpenSSL到OpenSSL 1.1.0k
10-25
最近放开了https服务,安全组扫描出新的漏洞,现对原OpenSSL 1.0.1g版本升级到OpenSSL 1.1.0k,同时重新编译OpenSSH及nginx,在此提供升级脚本,仅供参考
nginx-1.23.4安装服务启动
05-03
3. **配置测试**:如果需要修改Nginx配置文件(通常位于`/etc/nginx/nginx.conf`),记得先使用`sudo nginx -t`测试配置文件的正确性,避免因错误配置导致服务无法启动。 4. **停止与重启**:若需停止服务,用`sudo...
nginx 升级
波子汽水
02-06 767
下载最新的安装包 百度一下nginx官网上去下载解压tar -zxvf nginx-1.11.9.tar.gz -C /usr/local/备份原来的 这是个好习惯 好习惯 好习惯cp -r /usr/local/nginx /home/backupFiles/编译 注意找到原来的编译参数 命令为/usr/local/nginx/sbin/nginx -V./configure --prefi
Nginx升级
Frank_ZZ_的博客
11-23 1193
linux下nginx升级 # 查看原程序的编译参数 cd /usr/local/nginx ./sbin/nginx -V # configure arguments:后的参数就是编译参数 cd /usr/local # 备份 mkdir nginx-bak cp -rf nginx/* nginx-bak/ # 下载 wget http://nginx.org/download/nginx-...
nginx 版本升级
热门推荐
春风化雨
12-30 2万+
1、到nginx官网下载最新稳定版本的nginx安装包 地址:​​​​​​nginx: download地址:​​​​​​nginx: download 1、下载 wget http://nginx.org/download/nginx-1.20.2.tar.gz 2、解压 tar -zxvfdownload/nginx-1.20.2.tar.gz 3、编译 ./configure --prefix=/opt/software/nginx make 4、备份历...
Nginx HTTP/2模块远程拒绝服务漏洞
罗彬桦的博客
08-25 1606
漏洞描述:漏洞存在于ngx_http_v2_module模块之中(默认情况下不编译,编译时需要开启--with-http_v2_module,同时将listen http2添加到配置文件中),当用户添加http2支持时,攻击者可以发送特制的HTTP/2请求,可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844),最终导致服务器DoS。 方案一: 升级Nginx最新安全版本(1.15.6或1.14.1),官方下载链接:http://nginx.org/en
Nginx配置以及热升级
dsgdauigfs的博客
07-03 1220
Nginx与Apache一样,都是web服务器,但是Nginx比Apache多一些功能,比如Nginx可以做代理,可以做负载均衡……
nginx升级与反向代理
qq_45737059的博客
09-09 675
一、nginx的平滑升级与回退 nginx 支持热加载、热部署 ,在不关闭服务的情况下更新版本,不影响用户访问。nginx 采用了高度模块化的设计思路,并且内部的进程主要有两类,master 进程 和 worker 进程。其中 master 进程只有一个,worker 进程可以有多个。worker 进程才是真正 working 的进程,才是真正处理请求的进程。worker 进程全部都是 master 进程的子进程。 我们以server1上1.20.1版本的nginx为例来说明: 1.nginx的平滑升
Nginx升级的经历
dhweicheng的博客
11-06 220
nginx版本1.16.0 1、遭遇Nginx启动警告:nginx: [warn] the "ssl" directive is deprecated, use the "listen ... ssl" 解决方式:注释掉 ssl on; 新版本不需要配置该项 2、http 206 解决方式 proxy_buffer_size 128k; proxy_buffers 32 128k; proxy...
【安全预警】关于 Nginx 多个模块安全漏洞的通知
u013195691的博客
11-14 1494
近日,腾讯云安全中心监测到 Nginx 被曝存在拒绝服务漏洞漏洞编号:CVE-2018-16843/CVE-2018-16844/CVE-2018-16845),攻击者可利用该漏洞进行拒绝服务攻击,从而造成资源耗尽,服务不可用。 为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 【漏洞详情】 CVE-2018-16...
nginx HTTP/2拒绝服务漏洞CVE-2023-44487)解决办法
12-11
CVE-2023-44487是一个影响Nginx HTTP/2实现的拒绝服务(DoS)漏洞。该漏洞允许攻击者通过发送特制的HTTP/2请求来耗尽服务器资源,从而导致服务不可用。以下是解决该漏洞的一些建议: 1. **更新Nginx版本**: 最直接和有效的解决办法是更新Nginx到最新版本。Nginx官方已经发布了修复该漏洞的补丁版本。可以通过以下命令更新Nginx: ```bash sudo apt-get update sudo apt-get install nginx ``` 2. **禁用HTTP/2**: 如果暂时无法更新Nginx,可以考虑禁用HTTP/2协议。编辑Nginx配置文件(通常位于`/etc/nginx/sites-available/default`),找到`listen`指令并移除`http2`参数: ```nginx listen 443 ssl; # listen 443 ssl http2; ``` 3. **限制请求速率**: 通过配置Nginx的速率限制功能,可以限制每个客户端的请求速率,从而减轻DoS攻击的影响。可以在`http`块或`server`块中添加以下配置: ```nginx http { limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s; server { location / { limit_req zone=mylimit burst=20 nodelay; } } } ``` 4. **使用防火墙**: 配置防火墙规则,限制来自特定IP地址或IP范围的流量。例如,使用`iptables`可以限制每个IP地址的连接数: ```bash sudo iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 100 -j REJECT sudo iptables -A INPUT -p tcp --dport 443 -m connlimit --connlimit-above 100 -j REJECT ``` 5. **监控和日志分析**: 定期监控Nginx的日志文件,分析异常流量模式。可以使用工具如`fail2ban`来自动阻止可疑IP地址: ```bash sudo apt-get install fail2ban sudo systemctl enable fail2ban sudo systemctl start fail2ban ``` 通过以上措施,可以有效缓解CVE-2023-44487漏洞带来的安全风险。建议尽快更新Nginx到最新版本,以确保系统安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值