Você precisa criar ngnix
com a versão openSSL 1.0.1f
O comando configure
pode ter esta aparência:
./configure --with-http_ssl_module --with-openssl=/path/to/openssl 1.0.1f
Eu estava tentando o teste Qualys SSL Labs e ele me disse que o servidor é vulnerável a OpenSSL Padding Oracle vulnerability (CVE-2016-2107)
. Eu pesquisei sobre como consertar isso, e embora a versão do OpenSSL instalada no meu sistema (Ubuntu 14.04) deva ser corrigida para isso de acordo com isso link Eu ainda estava recebendo este erro.
Eu tentei atualizar o OpenSSL, mas ele já era a versão mais recente, então eu instalei manualmente uma nova versão seguindo as instruções aqui que correu bem, mas isso não resolveu nada . Olhando para as informações do Nginx, parece que ainda funciona com a versão anterior:
nginx -V
nginx version: nginx/1.10.2
built with OpenSSL 1.0.1f 6 Jan 2014 (running with OpenSSL 1.0.2g-fips 1 Mar 2016)
enquanto o OpenSSL foi claramente atualizado:
openssl version
OpenSSL 1.0.2j 26 Sep 2016
Alguma ideia de como resolver tudo isso?
Note que sim, eu reiniciei o Nginx, até tentei sudo service nginx upgrade
e até reiniciei o servidor.
Você precisa criar ngnix
com a versão openSSL 1.0.1f
O comando configure
pode ter esta aparência:
./configure --with-http_ssl_module --with-openssl=/path/to/openssl 1.0.1f