据我了解,升级openssl应该就足够了(很久以前做了,现在又安装了所有可用的更新(没有openssl)),然后重新启动nginx。 我甚至试图完全停止nginx(用psvalidation)并重新启动它。
但是ssllabs仍然告诉我,我很脆弱。 还有什么我需要做的,或者是什么可能导致它仍然脆弱?
版本:
ii nginx 1.9.10-1 all small, powerful, scalable web/proxy server ii nginx-common 1.9.10-1 all small, powerful, scalable web/proxy server - common files ii nginx-full 1.9.10-1 amd64 nginx web/proxy server (standard version) ii openssl 1.0.1t-1+deb8u2 amd64 Secure Sockets Layer toolkit - cryptographic utility ii libssl-dev:amd64 1.0.1t-1+deb8u2 amd64 Secure Sockets Layer toolkit - development files ii libssl-doc 1.0.1t-1+deb8u2 all Secure Sockets Layer toolkit - development documentation ii libssl1.0.0:amd64 1.0.1t-1+deb8u2 amd64 Secure Sockets Layer toolkit - shared libraries ii libssl1.0.2:amd64 1.0.2f-2 amd64 Secure Sockets Layer toolkit - shared libraries
与nginx相关的lsof
lsof 2>/dev/null |grep -i libssl|grep nginx nginx 17928 root mem REG 251,0 430560 2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2 nginx 17929 www-data mem REG 251,0 430560 2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2 nginx 17930 www-data mem REG 251,0 430560 2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2 nginx 17932 www-data mem REG 251,0 430560 2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2 nginx 17933 www-data mem REG 251,0 430560 2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
我知道了。
我从Debian unstable安装了1.0.2f-2 ,安装了1.0.2f-2 。 不稳定被固定为优先级“-100”(不要安装不稳定,除非要求-t unstable )。 这意味着版本在jessie 1.0.0X-Y和当前不稳定版本1.0.2.h-1 。 这阻止了在unstable中升级到下一个版本,而stable中的升级与版本号相比是“较旧的”版本。
安装必要的更新(如https://serverfault.com/users/126632/michael-hampton在评论中所build议的)似乎为我解决了这个问题。
apt-get update && apt-get upgrade
我在Debian Wheezy Server上遇到了类似的问题。 https://www.ssllabs.com/ssltest/总是显示我的服务器容易受到CVE-2016-2107的攻击。 其他服务器,(在我看来)相同的configuration,没有这个安全问题。
openssl,apache,php – 所有相同的版本和相同的configuration。
经过一番调查,我发现mod_spdy已经在这个特定的服务器上安装并激活了。
卸载mod_spdy后,问题解决了。
dpkg -r mod-spdy-beta dpkg -P mod-spdy-beta
从https://stackoverflow.com/questions/25593257/how-do-i-remove-spdy-mod-spdy