%20%2B%20Nginx.png)
我正在尝试Qualys SSL 实验室测试并告诉我该服务器容易受到OpenSSL Padding Oracle vulnerability (CVE-2016-2107).我在谷歌上搜索了如何解决这个问题,尽管我的系统(Ubuntu 14.04)上安装的 OpenSSL 版本应该根据此进行修补关联我仍然收到这个错误。
我尝试升级 OpenSSL,但它已经是最新版本,因此我按照说明手动安装了较新版本这里一切顺利,但这并没有解决任何问题。查看 Nginx 的信息,似乎仍然使用以前的版本运行:
nginx -V
nginx version: nginx/1.10.2
built with OpenSSL 1.0.1f 6 Jan 2014 (running with OpenSSL 1.0.2g-fips 1 Mar 2016)
而 OpenSSL 显然已更新:
openssl version
OpenSSL 1.0.2j 26 Sep 2016
知道如何解决这一切吗?
请注意,是的,我确实重新启动了 Nginx,我什至尝试过sudo service nginx upgrade甚至重新启动了服务器。
答案1
你需要建造 ngnix与openSSL 1.0.1f版本
该configure命令可能如下所示:
./configure --with-http_ssl_module --with-openssl=/path/to/openssl 1.0.1f