本博客主要记录使用Docker部署的前端项目修复nginx 安全漏洞(CVE-2021-23017)的过程。

漏洞报告

根据网上查阅的资料，该漏洞波及的版本为0.6.18-1.20.0，而官方网站http://nginx.org/en/download.html已经提供了1.20.2的稳定版本，因此，可以考虑升级nginx版本为1.20.2。

升级nginx版本

1、查看生产环境使用的nginx版本

curl -i 127.0.0.1


返回如下：

HTTP/1.1 200 OK
Server: nginx/1.17.3


2、查看本地安装的nginx版本

# 查找nginx安装位置
whereis nginx


返回为：nginx: /usr/local/nginx

查看nginx安装版本：

/usr/local/nginx/sbin/nginx -V


返回的版本为nginx version: nginx/1.2.8，这说明生产环境用的不是系统安装的版本，因此，可以考虑是通过docker部署的生产环境。

查看现在的nginx镜像的运行版本：

docker inspect nginx


拉取版本1.20.2的nginx

docker pull nginx:1.20.2


更改docker-compose.yml配置，以下的/var/trunk改为你的实际Docker部署项目的位置，其显著特征为包含docker-compose.yml、Dockerfile等文件

cd /var/trunk
vim docker-compose.yml


修改nginx的版本号

关闭docker-compose再重新开启：

docker-compose down
docker-compose restart


查看nginx版本：

curl -i 127.0.0.1


返回如下：

HTTP/1.1 200 OK
Server: nginx/1.20.2


这说明生产环境的nginx已经升级为1.20.2，修复漏洞成功！

需要注意的是，本博客仅适用于使用Docker部署生产环境的项目进行nginx版本升级！