CVE-2016-2107 Nginx en CentOS / Red Hat 7

El Red Hat y por lo tanto CentOS en su versión 7 no han liberado parche para esto debido a que el nivel de riesgo solo es moderado y el acceso a la información es muy complejo según lo define RedHat.

Sin embargo, si eres un poco paranoico y tienes un tiempo límite de espera como yo que decidí esperar 3 días para obtener el parche oficial en RedHat pero este no ha llegado, existe una solución, la más simple de cualquier linuxero conoce. Bajar el código fuente con los parches y compilar tú mismo.

Primero se bajan los códigos fuentes de Nginx en su versión estable y la versión parchada al 3 de mayo de LibreSSL, LibreSSL un esfuerzo similar a OpenSSL pero más ligero, por ahora.

Los códigos fuentes puedes ser obtenidos de:

http://ftp.openbsd.org/pub/OpenBSD/LibreSSL/libressl-2.3.4.tar.gz
http://nginx.org/download/nginx-1.10.0.tar.gz

Pasos para actualizar un Nginx en CentOS 7 usando código fuente:

asumiendo que la compilación será en el home de root en /root y que el destino de instalación de nginx será /usr/nginx10libressl2.3.4/

1 Descomprimir ambos archivos .tar.gz en /root
2 entrar a la carpeta o directorio del código fuente de nginx
3 ejecutar el configure con las siguientes parámetros.

./configure --with-http_v2_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_ssl_module --prefix=/usr/nginx10libressl2.3.4/ --with-openssl=/root/libressl-2.3.4

4 make y si compilo todo correctamente make install
5 finalmente se copia todas las configuraciones del viejo nginx al nuevo instalado en /usr/nginx10libressl2.3.4/

6 apagar el servicio de la versión vieja de nginx y levantar el de la nueva versión.

Es todo.

Puedes verificar si tu servidor web es vulnerable aquí:

https://filippo.io/CVE-2016-2107/

Imágenes del antes y después.

CVE-2016-2107
Ver mas grande

CVE-2016-2107
Ver mas grande

Add a Comment

Comment spam protected by SpamBam