由 dawei
我们的安全部门最近要求我们升级我们的服务器,以避免
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6214引起的可能的攻击
现在,我们有很多这样的服务器,但所有请求都通过NGINX代理.所以,问题是,只升级这个就足够了吗?
据我所知,如果TCP软件包包含一个特殊的URG标志,则该漏洞存在于TCP级别.我是否理解正确,NGINX以下列方式作为代理:
>接收TCP包并将它们组合为HTTP请求.
>选择适当的后端服务器将其发送给.
>发送请求,生成自己的TCP包,这是安全的,并且不包含任何易受攻击的信息?或者情况并非如此,NGINX只是重新发送收到的TCP包?
解决方法
是的,当nginx配置为
reverse proxy时,客户端和后端服务器之间没有直接的TCP / IP连接.
Nginx在OSI模型的第7层(应用层)运行,当它接收到有效的HTTP请求时,它将代表客户端将其自己的HTTP请求发送到适当的后端服务器.远程客户端无法操纵nginx与TCP / IP级别的后端服务器之间发生的事情(OSI模型的3/4层).