升级代理NGINX服务器的内核是否足以阻止CVE-2017-6214的利用?

Modified on: Sun, 18 Aug 2019 21:20:02 +0800

我们的安全部门最近要求我们升级我们的服务器,以避免由http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6214

现在,我们有很多这样的服务器,但所有请求都通过NGINX代理。所以,问题是,只升级这个就足够了吗?

据我所知,如果TCP软件包包含特殊的URG标志,则该漏洞存在于TCP级别。我是否理解正确,NGINX以下列方式作为代理:

  • 接收TCP包并将它们组合为HTTP请求。
  • 选择适当的后端服务器将其发送给。
  • 发送请求,生成自己的TCP包,哪些是安全的,并且不包含任何易受攻击的信息?或者情况并非如此,NGINX只是重新发送它收到的TCP包?

最佳答案

是的,当nginx配置为反向代理时客户端和后端服务器之间没有直接的TCP / IP连接。

Nginx在OSI模型的第7层(应用层)运行,当它接收到有效的HTTP请求时,它将代表客户端将其自己的HTTP请求发送到适当的后端服务器。远程客户端无法操纵nginx与TCP / IP级别的后端服务器之间发生的情况(OSI模型的3/4层)。

作者:HBruijn

相关问答

添加新评论