澳门新葡亰信誉平台游戏nginx 升级为最新版 1.12.0

by admin on 2020年3月14日

澳门新葡亰信誉平台游戏 1

澳门新葡亰信誉平台游戏 2

商家近日利用的nginx版本极低(nginx-1.0.12),请网络安全集团做了一晃“远程安全评估”,开掘成下列漏洞:
nginx U中华VI管理平安范围绕过漏洞(CVE-2012-4547卡塔尔(قطر‎
Nginx ‘access.log’不安全文件权限漏洞(CVE-二〇一一-0337)
nginx SSL会话固定漏洞(CVE-二〇一四-3616卡塔尔(قطر‎
nginx resolver 谢绝服务漏洞(CVE-2015-0747卡塔尔
nginx resolver 拒却服务漏洞(CVE-2014-0742卡塔尔国
nginx ‘ngx_http_mp4_module.c’缓冲区溢出疏漏
nginx标头分析内部存款和储蓄器泄露漏洞
nginx ‘ngx_http_close_connection(卡塔尔国’远程整数溢出漏洞
nginx 空指针直接引用漏洞(CVE-2014-4450State of Qatar
nginx resolver 释放后重利用漏洞(CVE-2015-0746卡塔尔国

据德国媒体电视发表,近年来nginx 被揭破存在安全主题素材,有超级大概率会以致 1400 多万台服务器易受到 DoS
攻击。而以致安全主题材料的尾巴存在于 HTTP/2 和 MP5 模块中。

听得多了就能够说的清楚全部版本的Kubernetes的八个危殆漏洞只怕让未经授权的攻击者能够触发拒却服务(DoS卡塔尔(قطر‎状态,Kubernetes这一个开源系统用于拍卖容器化的应用程序。

为了修补方面包车型地铁尾巴,决定将nginx 更新为nginx-1.12.0

nginx Web
服务器于三月6日透露了新本子,用于修复影响
1.15.6, 1.14.1 早前版本的七个平平安安主题材料,被开采的哈密主题材料有一种那样的图景
—— 允许潜在的攻击者触发谢绝服务(DoS卡塔尔状态并访问敏感的信息。

Kubernetes的开荒协会曾经公布了修补版本,以阻止这几个新意识的安全漏洞,并堵住潜在攻击者钻漏洞的空子。

1.首先下载 nginx-1.12.0.tar.gz,nginx-upstream-jvm-route-master.zip
ngx_cache_purge-2.3.tar.gz
附属类小零部件中有依附包

“在 nginx HTTP/2
实现中窥见了七个平平安安主题材料,那可能导致过多的内存消耗(CVE-2018-16843卡塔尔国和CPU使用率(CVE-2018-16844卡塔尔(قطر‎”,详见
nginx
的安然提议。

Kubernetes最先由Google动用Go开拓而成,意在救助使主机集群上的容器化职业负荷和劳动的安插、增加和保管落到实处自动化。

2.解压  tar -zxvf ngx_cache_purge-2.3.tar.gz
tar -zxvf  nginx-upstream-jvm-route-master.zip
tar -zxvf  nginx-1.12.0.tar.gz

别的,“假使在安插文件中行使”listen”指令的”http2″选项,则难点会影响使用
ngx_http_v2_module 编译的 nginx(暗中同意情况下不编写翻译)。”

它通过将应用程序容器协会到pod、节点(物理或设想机卡塔尔和集群来得以完成那或多或少,多少个节点构成由主系统(master卡塔尔国管理的集群,主系统负担和谐与集群有关的任务,举个例子扩张、调治或更新应用程序。

3.通过./nginx -V 查看原本安装时的参数

为了利用上述五个难点,攻击者可以发送特制的 HTTP/2
须求,那将产生过多的CPU使用和内部存款和储蓄器使用,最后触发 DoS 状态。

安全漏洞影响全数Kubernetes版本

[root@localhost sbin]# ./nginx -V
nginx version: nginx/1.0.12
configure arguments: –prefix=/opt/nginx
–with-http_stub_status_module –with-pcre=/opt/soft/pcre-8.21
–add-module=../nginx_upstream_jvm_route/
–add-module=../ngx_cache_purge-1.5
–add-module=../nginx_upstream_check_module-master

具备运维未打上补丁的 nginx 服务器都轻巧遇到 DoS 攻击。

Kubernetes付加物安全国委员会员会的MicahHausler在Kubernetes安全难题通知列表上表露:“Go语言的net/http库中发现了一个有惊无险难题,影响了Kubernetes的富有版本和具备组件。”

4.进入  nginx-1.12.0 执行:
patch -p0 <
nginx-upstream-jvm-route-master所在路径下的jvm_route.patch
patch -p0 <
/opt/soft/nginx-upstream-jvm-route-master/jvm_route.patch
注意必必要推行,不然make 时会报错误

其多少个平平安安难题(CVE-2018-16845State of Qatar会影响 MP3 模块,使得攻击者在恶意制作的
mp5 文件的援救下,在 worker
进度中程导弹致现身非常循环、崩溃或内部存储器败露情况。

“这几个疏漏恐怕诱致接收HTTP或HTTPS侦听器的其他进度濒临DoS,”全数版本的Kubernetes都直面震慑。

5.执行
[root@localhost nginx-1.12.0]# ./configure –prefix=/opt/nginx
–with-http_stub_status_module –with-pcre=/opt/soft/pcre-8.21
–add-module=/opt/soft/nginx-upstream-jvm-route-master/
–add-module=/opt/soft/ngx_cache_purge-1.5
–add-module=/opt/soft/nginx_upstream_check_module-master

最后一个安全主题素材仅影响运营使用 ngx_http_mp4_module 创设的 nginx
版本并在配置文件中启用 mp5 选项的服务器。

Netflix在九月二十十三日公告开采了多个漏洞,那几个漏洞使自身扶助HTTP/2通讯的服务器揭露在DoS攻击前面。

  1. [root@localhost nginx-1.12.0]#make

一句话来讲,HTTP/2 漏洞影响 1.9.5 和 1.15.5 之间的有着 nginx 版本,MP5模块安全难点影响运转 nginx 1.0.7, 1.1.3 及更加高版本的服务器。

在Netflix与石嘴山通知一齐公布的七个CVE中,个中四个还影响Go和耐心服务于HTTP/2流量(包罗/healthz卡塔尔的富有Kubernetes组件。

7.[root@localhost nginx-1.12.0] mv /opt/nginx/sbin/nginx
/opt/nginx/sbin/nginx.old
8.[root@localhost nginx-1.12.0] cp objs/nginx /opt/nginx/sbin/
9.[root@localhost nginx-1.12.0]# make upgrade
/opt/nginx/sbin/nginx -t
nginx: the configuration file /opt/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /opt/nginx/conf/nginx.conf test is
successful
kill -USR2 `cat /opt/nginx/logs/nginx.pid`
sleep 1
test -f /opt/nginx/logs/nginx.pid.oldbin
kill -QUIT `cat /opt/nginx/logs/nginx.pid.oldbin`

为扫地以尽那四个安全难题,服务器助理馆员必需将其 nginx 升级到 1.14.1 stable
或1.15.6 主线版本。

标为CVE-2019-9512和CVE-2019-9514的那四个漏洞已被Kubernetes付加物安全国委员会员会定为CVSS
v3.0根基分7.5;那七个漏洞使“不可信的客户端可以分配Infiniti量的内部存款和储蓄器,直到服务器崩溃。”

在意:进级是不供给关闭nginx

澳门新葡亰信誉平台游戏 3

CVE-2019-9512 Ping
Flood:攻击者向HTTP/2对等体(peer卡塔尔(قطر‎发送三番五次ping,引致对等体创建内部响应队列。那说不佳损耗过多的CPU、内部存款和储蓄器或CPU和内部存款和储蓄器——那取决该数据的行列多高效,进而只怕招致谢绝服务攻击。CVE-2019-9514
Rest
Flood:攻击者展开多路数据流,并在每路数据流上发送无效央浼,进而从对等体获得TucsonST_STREAM帧数据流。那会花销过多的内部存款和储蓄器、CPU或CPU和内部存款和储蓄器——那有赖于对等体怎么样将LX570ST_STREAM帧列入队列,进而恐怕产生推却服务攻击。

10.[root@localhost nginx-1.12.0]# /opt/nginx/sbin/nginx -V
nginx version: nginx/1.12.0
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-11) (GCC)
configure arguments: –prefix=/opt/nginx
–with-http_stub_status_module –with-pcre=/opt/soft/pcre-8.21
–add-module=/opt/soft/nginx-upstream-jvm-route-master/
–add-module=/opt/soft/ngx_cache_purge-2.3
–add-module=/opt/soft/nginx_upstream_check_module-master

近期,Shodan 找寻展现超过 1400 万台服务器运营未包蕴修复补丁的 nginx
版本(更适于地说是 14,036,690 台),只有 6992 台服务器打上了安全补丁。

升级Kubernetes集群

升级成!

(文/开源中国卡塔尔国    

如开端所述,Kubernetes已经发表了补丁来阻拦漏洞,建议全部管理员尽快晋级到补丁版本。

模块表明:
nginx_upstream_check_module
来检查评定后方realserver的符合规律景况,假设后端服务器不可用,则据此的倡议不换车到那台服务器。
nginx_upstream_jvm_route: 通过session
cookie的主意来得到session粘性。借使在cookie和url中并不曾session,则那只是个简易的round-robin
负载均衡。

支出公司已发布了接收新本子和修补版Go塑造的以下Kubernetes版本,以匡助管理员应对漏洞:

ngx_cache_purge:缓存模块

Kubernetes v1.15.3 go1.12.9Kubernetes v1.14.6 go1.12.9Kubernetes
v1.13.10 go1.11.13

Kubernetes管理员可使用Kubernetes集群管理页面(-cluster/cluster-management/#upgrading-a-cluster卡塔尔上适用于具备平台的晋级表明来进步集群。

初藳标题:Severe Flaws in Kubernetes Expose All Servers to DoS
Attacks,小编:Sergiu Gatlan

作者:布加迪编写翻译来源:51CTO

声称:本网址揭橥的内容以客商投稿、用户转发内容为主,借使波及侵害版权请尽快告知,我们将会在第有时间删除。文章观点不代表本网址立场,如需处理请联系客性格很顽强在困难重重或巨大压力面前不屈。电话:028-62778877-8306;邮箱:hyg@west.cn。本站原创内容未经允许不得转发,或转发时需表明出处::东边数码资源信息门户
Kubernetes的不得了漏洞将持有服务器暴光在DoS攻击眼下!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图