nginx security advisories: почему модуль, который не включен, обычно не страшен
nginx advisories часто касаются конкретных модулей. Разбираем, как понять, применима ли уязвимость к вашему серверу.
Когда выходит список nginx security advisories, он может выглядеть пугающе: CVE, buffer overflow, injection, bypass. Но nginx модульный, и не каждая уязвимость касается каждого сервера.
Что проверить
- Версию nginx:
nginx -v
- Конфигурацию:
nginx -T | less
- Используются ли затронутые модули и директивы.
Если advisory касается mp4_module, а сайт отдает только HTML/CSS и этот модуль не используется, риск другой, чем у видеосервиса.
Но обновляться все равно надо
Низкая применимость не означает "никогда не обновлять". Она означает "можно планово, без паники". Серверные пакеты лучше держать в поддерживаемом состоянии.
Практичный минимум
- регулярный
apt upgrade; - backup nginx-конфигов;
nginx -tперед reload;- чтение changelog для серьезных обновлений;
- отключение ненужных модулей/функций.
Вывод
Security advisory нужно читать с вопросом: "Какая версия, какой модуль, какая конфигурация?" Так реакция становится инженерной, а не эмоциональной.
Источник: nginx security advisories.