Назад к статьям

nginx security advisories: почему модуль, который не включен, обычно не страшен

nginx advisories часто касаются конкретных модулей. Разбираем, как понять, применима ли уязвимость к вашему серверу.

Когда выходит список nginx security advisories, он может выглядеть пугающе: CVE, buffer overflow, injection, bypass. Но nginx модульный, и не каждая уязвимость касается каждого сервера.

Что проверить

  1. Версию nginx:
nginx -v
  1. Конфигурацию:
nginx -T | less
  1. Используются ли затронутые модули и директивы.

Если advisory касается mp4_module, а сайт отдает только HTML/CSS и этот модуль не используется, риск другой, чем у видеосервиса.

Но обновляться все равно надо

Низкая применимость не означает "никогда не обновлять". Она означает "можно планово, без паники". Серверные пакеты лучше держать в поддерживаемом состоянии.

Практичный минимум

Вывод

Security advisory нужно читать с вопросом: "Какая версия, какой модуль, какая конфигурация?" Так реакция становится инженерной, а не эмоциональной.

Источник: nginx security advisories.