ヒント:記事作成後に目次を自動生成することもできますが、生成方法については右のヘルプを参照してください。
記事ディレクトリ
序文
ミススキャンにより、マシン上の nginx で使用されている openssl のバージョンが少し低いことがわかりました。また、nginx は以前にデプロイされ、まだバージョン 1.20.2 だったので、一緒にアップグレードしました。
1. 脆弱性の内容
SSL/TLS プロトコル情報漏洩の脆弱性 (CVE-2016-2183) [プリンシプル スキャン]
nginx バッファ エラーの脆弱性 (CVE-2022-41741)
nginx の境界外書き込みの脆弱性 (CVE-2022-41742)
2. 現状
openssl バージョン: 1.0.2k
nginx バージョン: 1.20.2
3. openssl11 を centos7 にインストールします
yum install -y epel-release
yum install -y openssl11 openssl11-devel
ln -sf /usr/lib64/pkgconfig/openssl11.pc /usr/lib64/pkgconfig/openssl.pc
mv /usr/bin/openssl /usr/bin/openssl.bak
ln -s /usr/bin/openssl11 /usr/bin/openssl
openssl version
4. nginx を 1.24.0 にアップグレードする
1.nginxをダウンロードする
mkdir -p /root/nginx/
cd /root/nginx/
wget -c https://nginx.org/download/nginx-1.24.0.tar.gz
tar -xvf nginx-1.24.0.tar.gz
cd /root/nginx/nginx-1.24.0/
2. nginxをコンパイルしてインストールします
#使用命令:安装ssl模块
./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
#编译
make
#备份已有nginx
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.1.20.2
#编译安装
make install
3.nginx.serviceを設定する
/usr/lib/systemd/system/nginx.service
[Unit]
Description=nginx
After=network.target
[Service]
Type=forking
ExecStart=/usr/local/nginx/sbin/nginx
ExecReload=/usr/local/nginx/sbin/nginx -s reload
ExecStop=/usr/local/nginx/sbin/nginx -s quit
PrivateTmp=true
[Install]
WantedBy=multi-user.target
4.nginxを再起動します
systemctl restart nginx.service
systemctl status nginx.service
要約する
ここで使用する openssl は yum を使用してインストールされますが、コンパイルしてインストールする方法を使用することもできます。