据我所知,升级 openssl(很久以前就完成了,现在再次安装了所有可用更新(那里没有 openssl))并重新启动 nginx 就足够了。我甚至尝试完全停止 nginx(用 验证ps
)并重新启动它。
但 ssllabs 仍然告诉我,我很容易受到攻击。我还需要做什么,或者是什么原因导致它仍然容易受到攻击?
版本:
ii nginx 1.9.10-1 all small, powerful, scalable web/proxy server
ii nginx-common 1.9.10-1 all small, powerful, scalable web/proxy server - common files
ii nginx-full 1.9.10-1 amd64 nginx web/proxy server (standard version)
ii openssl 1.0.1t-1+deb8u2 amd64 Secure Sockets Layer toolkit - cryptographic utility
ii libssl-dev:amd64 1.0.1t-1+deb8u2 amd64 Secure Sockets Layer toolkit - development files
ii libssl-doc 1.0.1t-1+deb8u2 all Secure Sockets Layer toolkit - development documentation
ii libssl1.0.0:amd64 1.0.1t-1+deb8u2 amd64 Secure Sockets Layer toolkit - shared libraries
ii libssl1.0.2:amd64 1.0.2f-2 amd64 Secure Sockets Layer toolkit - shared libraries
lsof 与 nginx 相关
lsof 2>/dev/null |grep -i libssl|grep nginx
nginx 17928 root mem REG 251,0 430560 2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
nginx 17929 www-data mem REG 251,0 430560 2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
nginx 17930 www-data mem REG 251,0 430560 2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
nginx 17932 www-data mem REG 251,0 430560 2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
nginx 17933 www-data mem REG 251,0 430560 2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
答案1
我得到了它。
我是certbot
从 debian stable 中安装的,它安装了1.0.2f-2
。unstable 的优先级为“-100”(除非有 要求,否则不要从 stable 安装-t unstable
)。这意味着版本介于 jessie 版本1.0.0X-Y
和当前不稳定版本之间1.0.2.h-1
。这阻止了升级到不稳定版本的下一个版本,而稳定版中的升级是版本号方面的“较旧”版本。
答案2
安装必要的更新(按照建议https://serverfault.com/users/126632/michael-hampton在评论中)似乎为我解决了这个问题。
apt-get update && apt-get upgrade
答案3
我在 Debian Wheezy 服务器上遇到了类似的问题。https://www.ssllabs.com/ssltest/总是显示我的服务器容易受到攻击CVE-2016-2107
。其他服务器(在我看来)具有相同的配置,没有这个安全问题。
openssl、apache、php - 所有相同的版本和相同的配置。
经过一番调查,我发现它mod_spdy
已在此特定服务器上安装并激活。
卸载后mod_spdy
问题解决。
dpkg -r mod-spdy-beta
dpkg -P mod-spdy-beta
从https://stackoverflow.com/questions/25593257/how-do-i-remove-spdy-mod-spdy