A atualização do kernel do servidor proxy NGINX será suficiente para impedir a exploração do CVE-2017-6214?

Question

A atualização do kernel do servidor proxy NGINX será suficiente para impedir a exploração do CVE-2017-6214?

#1 resposta do (8 votos)

6

Recentemente, nosso departamento de segurança nos pediu para atualizar nossos servidores, a fim de evitar possíveis ataques causados por link

Agora, temos muitos desses servidores, mas todas as solicitações são intermediadas por proxy por meio do NGINX. Então, a questão é: será suficiente atualizar apenas este?

Tanto quanto eu entendi, a vulnerabilidade está presente no nível TCP, se os pacotes TCP contiverem um sinalizador especial URG. Eu entendi corretamente, que o NGINX funciona da seguinte maneira como proxy:

Recebe pacotes TCP e os combina como a solicitação HTTP.
Escolhe o servidor de backend apropriado para enviá-lo para.
Envia a solicitação, gerando seus próprios pacotes TCP, que são seguros e não contêm informações vulneráveis? Ou este não é o caso, e o NGINX simplesmente reenvia os pacotes TCP que recebeu?

nginx linux

por SPIRiT_1984 18.09.2017 / 07:42

1 resposta

Tags nginx linux

Como alguém diagnostica os problemas do Linux LACP no nível do kernel? Como instalar o ZFS no servidor Dell Poweredge e na matriz de disco Dell sem usar o controlador RAID

score 8 · Accepted Answer

Sim, quando o nginx está configurado como proxy reverso , não há um TCP / Conexão IP entre os clientes e os servidores back-end.

O Nginx opera na camada 7 do modelo OSI, na camada de aplicativo e, quando recebe solicitações HTTP válidas, faz suas próprias solicitações HTTP em nome dos clientes para o servidor de backend apropriado. Os clientes remotos não podem manipular o que acontece entre o nginx e os servidores de backend no nível do TCP / IP (camada 3/4 do modelo OSI).