漏洞说明:
基于Nginx的https网站被扫描出SSL/TLS协议信息泄露漏洞(CVE-2016-2183),该漏洞是在安装Nginx时build的Openssl版本问题导致的漏洞,需要重新编译安装Nginx并指定版本的Openssl(可以不升级系统的openssl,编译过程中只要指定新的openssl路径即可)。
加固方法和步骤
1、检查当前Nginx安装过程中使用的openssl版本

2、下载新版本Openssl(openssl-1.1.0k.tar.gz)
cd /tmp
wget https://www.openssl.org/source/openssl-1.1.0k.tar.gz
tar zxvf openssl-1.1.0k.tar.gz
3、下载安装最新版的Nginx源码(nginx-1.17.1.tar.gz)
需要先进行原有Nginx的配置文件的备份
wget http://nginx.org/download/nginx-1.17.1.tar.gz
tar zxvf nginx-1.17.1.tar.gz
cd nginx1.17
./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_stub_status_module --with-openssl=/tmp/openssl-1.1.0k
make
make install
4、验证新的Nginx使用Openssl版本

5、重新启动Nginx
注:本文转自https://blog.weiminginfo.com/archives/1563514268497
我的是 OpenSSL 1.1.1b不受影响吧。