那些遇到过的问题

升级代理 NGINX 服务器的内核是否足以防止 CVE-2017-6214 漏洞利用?

SPI*_*984 6 linux nginx

我们的安全部门最近要求我们升级我们的服务器,以避免可能由http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6214引起的攻击

现在,我们有很多这样的服务器,但所有请求都通过一个 NGINX 代理。那么问题来了,只升级这个就够了吗?

据我了解,如果 TCP 包包含特殊的 URG 标志,则该漏洞存在于 TCP 级别。我是否理解正确,NGINX 作为代理工作的方式如下:

  • 接收 TCP 包并将它们组合为 HTTP 请求。
  • 选择适当的后端服务器将其发送到。
  • 发送请求,生成自己的 TCP 包,安全且不包含任何易受攻击的信息?或者情况并非如此,NGINX只是重新发送它收到的TCP包?

HBr*_*ijn 8

是的,当 nginx 配置为反向代理时,客户端和后端服务器之间没有直接的 TCP/IP 连接。

Nginx 运行在 OSI 模型的第 7 层,即应用层,当它收到有效的 HTTP 请求时,它将代表客户端向适当的后端服务器发出自己的 HTTP 请求。远程客户端无法在 TCP/IP 级别(OSI 模型的第 3/4 层)操纵 nginx 和后端服务器之间发生的事情。

归档时间:

查看次数:

628 次

最近记录:

8 年 前
相关归档
为从 nginx 提供的静态内容设置过期标头 112
如何通过用户 ID 获取用户名? 26
iptables 中的源 IP 速率限制:hashlimit 与最近的 9
用户/组安全如何在 Linux 上工作? 6
如何更改 Linux NIS 主服务器上的密码? 5
通过 VPN 访问托管在与 VPN 相同的服务器上的网站 5
Nginx 重写除 index 之外的所有 html 文件 4
阻止 POST 请求会阻止远程访问木马的传播吗? 4
确定进程打开了哪些文件 (Linux) 3
如何撤消 iptables-save? 2
难疑归档
ssh 返回“ ~/.ssh/config 上的所有者或权限错误” 520
有哪些不同的广泛使用的 RAID 级别,我应该何时考虑? 187
如何从权威时间服务器更新 CentOS 服务器的时间? 108
保护 LAMP 服务器的技巧 102
GPG 没有足够的熵 94
如何获取当前 svn repo 的 url? 91
nginx - 客户端请求正文被缓冲到一个临时文件 84
我的 mysql 登录 OS X 在哪里? 79
AWS RDS 连接限制 76
Route 53 不允许添加 DKIM 密钥,因为长度太长 57