loc有人发nginx出现了0day远程执行漏洞。不过各大厂都没有发修复方案。应该说影响范围较小。目前知道涉及的情况为1.21.5以及以下版本会有影响。不过tg群中1.21.6有人也复现了。本漏洞受影响小的原因是:几乎没人知道“LDAP认证”这玩意,更不用说开启它了。所以绝大部分服务器跟这个漏洞无关。
宝塔面板LDAP认证安全漏洞解决方案
1、面板版本为7.8.0以及以上(最新为7.9.3)
在软件商店 – 运行环境 – nginx – 设置 – 切换版本 。到最新的1.22即可。安装完后为1.22.0,此漏洞已在该版本中修复。
2、面板版本为7.7.0以及以下
备份网站程序目录,备份数据库文件到本地!!!
卸载nginx,在ssh中运行如下代码。安装1.22.0版
bash /www/server/panel/install/nginx.sh install 1.22
其他修复方案参考nginx官网文档:https://www.nginx.com/blog/addressing-security-weaknesses-nginx-ldap-reference-implementation/
再次说明:这个漏洞影响较小,一般人不用过于担心。如果实在担心,就把nginx更新到最新的1.22以及以上即可。
连夜更新了20多台服务器,暂时没有出现更新不了1.22的(宝塔面板)。所以大家可以放心升级。
对宝塔面板有兴趣的同学,可以点击领取宝塔面板代金券。0.99元体验专业版(专业版和企业版可以免费使用nginx防火墙插件、网站监控报表-流量统计、数据同步等插件)。代金券插件、企业版均可以抵扣。