解决Nginx安全漏洞【CVE-2018-16844、CVE-2019-9511、CVE-2021-3618、CVE-2018-16843、CVE-2021-23017】等问题

前言

最近网信办通报某服务器存在nginx[CVE-2018-16844、CVE-2019-9511、CVE-2021-3618、CVE-2018-16843、CVE-2021-23017、CVE-2019-9513]等漏洞，需要进行修复，查阅了下对应的资料发现这些漏洞是是 Nginx 的 HTTP/2 模块中的一个安全问题。此漏洞允许攻击者通过特定的 HTTP/2 请求构造，可能导致服务器崩溃或执行拒绝服务（DoS）攻击。
故此需要对该服务器Nginx进行漏洞修复

解决方案

升级Nginx版本到不被影响的版本，经过对比和查阅资料准备升级Nginx版本到1.22.1版本这个版本目前较为稳定。

操作过程

1、下载/上传Nginx安装包
进入到要下载的目录(根据个人喜好来定)

cd /usr/local/

上传Nginx安装包或者在线下载（为了省事选择下载）

wget http://nginx.org/download/nginx-1.22.1.tar.gz

2、 解压Nginx并移动至解压后的目录

tar zxvf nginx-1.22.1.tar.gz
cd ./nginx-1.22.1

3、编译Nginx并添加http_v2模块应用
（编译的时候注意目录）

./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_v2_module --with-http_stub_status_module

执行make指令（注意不执行make install指令）

make

4、备份旧版Nginx二进制文件，并移动新版至启动目录下
（注意目录要按照你的目录来）

mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx20250427.old

将新版本nginx二进制文件移动至启动目录下

cp ./objs/nginx /usr/local/nginx/sbin/nginx

5、执行更新
需要注意的是，升级的时候最好把nginx先停止运行在进行升级，虽然不停止也可以升级但是如果配置文件存在ssl相关的配置有可能会造成升级失败
这个命令要在源文件目录下输入（就是第2步的那个目录）

make upgrade

6、验证升级是否成功

/usr/local/nginx/sbin/nginx -v

验证升级是否成功