我们的安全部门最近要求我们升级服务器,以避免可能因http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6214
现在,我们有很多这样的服务器,但所有请求都通过一个带有 NGINX 的服务器进行代理。那么,问题是,只升级这一个就够了吗?
据我所知,如果 TCP 包包含特殊的 URG 标志,则该漏洞存在于 TCP 级别。我理解的对吗?NGINX 作为代理的工作方式如下:
- 接收TCP包并将其组合为HTTP请求。
- 选择适当的后端服务器将其发送到。
- 发送请求,生成自己的 TCP 包,这些包是安全的,不包含任何易受攻击的信息?或者情况并非如此,NGINX 只是重新发送它收到的 TCP 包?
答案1
是的,当 nginx 配置为反向代理客户端和后端服务器之间没有直接的 TCP/IP 连接。
Nginx 在 OSI 模型的第 7 层(应用层)运行,当它收到有效的 HTTP 请求时,它会代表客户端向相应的后端服务器发出自己的 HTTP 请求。远程客户端无法在 TCP/IP 级别(OSI 模型的第 3/4 层)操纵 nginx 和后端服务器之间发生的事情。