如何修复 debian jessie 上 nginx 的 OpenSSL Padding Oracle 漏洞 (CVE-2016-2107)?

如何修复 debian jessie 上 nginx 的 OpenSSL Padding Oracle 漏洞 (CVE-2016-2107)?

据我所知,升级 openssl(很久以前就完成了,现在再次安装了所有可用更新(那里没有 openssl))并重新启动 nginx 就足够了。我甚至尝试完全停止 nginx(用 验证ps)并重新启动它。

但 ssllabs 仍然告诉我,我很容易受到攻击。我还需要做什么,或者是什么原因导致它仍然容易受到攻击?

版本:

ii  nginx                              1.9.10-1                          all          small, powerful, scalable web/proxy server
ii  nginx-common                       1.9.10-1                          all          small, powerful, scalable web/proxy server - common files
ii  nginx-full                         1.9.10-1                          amd64        nginx web/proxy server (standard version)
ii  openssl                            1.0.1t-1+deb8u2                   amd64        Secure Sockets Layer toolkit - cryptographic utility

ii  libssl-dev:amd64                   1.0.1t-1+deb8u2                   amd64        Secure Sockets Layer toolkit - development files
ii  libssl-doc                         1.0.1t-1+deb8u2                   all          Secure Sockets Layer toolkit - development documentation
ii  libssl1.0.0:amd64                  1.0.1t-1+deb8u2                   amd64        Secure Sockets Layer toolkit - shared libraries
ii  libssl1.0.2:amd64                  1.0.2f-2                          amd64        Secure Sockets Layer toolkit - shared libraries

lsof 与 nginx 相关

lsof 2>/dev/null |grep -i libssl|grep nginx
nginx     17928              root  mem       REG              251,0    430560    2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
nginx     17929          www-data  mem       REG              251,0    430560    2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
nginx     17930          www-data  mem       REG              251,0    430560    2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
nginx     17932          www-data  mem       REG              251,0    430560    2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
nginx     17933          www-data  mem       REG              251,0    430560    2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2

答案1

我得到了它。

我是certbot从 debian stable 中安装的,它安装了1.0.2f-2。unstable 的优先级为“-100”(除非有 要求,否则不要从 stable 安装-t unstable)。这意味着版本介于 jessie 版本1.0.0X-Y和当前不稳定版本之间1.0.2.h-1。这阻止了升级到不稳定版本的下一个版本,而稳定版中的升级是版本号方面的“较旧”版本。

答案2

安装必要的更新(按照建议https://serverfault.com/users/126632/michael-hampton在评论中)似乎为我解决了这个问题。

apt-get update && apt-get upgrade

答案3

我在 Debian Wheezy 服务器上遇到了类似的问题。https://www.ssllabs.com/ssltest/总是显示我的服务器容易受到攻击CVE-2016-2107。其他服务器(在我看来)具有相同的配置,没有这个安全问题。

openssl、apache、php - 所有相同的版本和相同的配置。

经过一番调查,我发现它mod_spdy已在此特定服务器上安装并激活。

卸载后mod_spdy问题解决。

dpkg -r mod-spdy-beta 
dpkg -P mod-spdy-beta

https://stackoverflow.com/questions/25593257/how-do-i-remove-spdy-mod-spdy

相关内容