Наш отдел безопасности недавно попросил нас обновить наши серверы, чтобы избежать возможных атак, вызванных http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6214
Сейчас у нас много таких серверов, но все запросы проксируются через один с NGINX. Итак, вопрос в том, достаточно ли будет обновить только этот?
Насколько я понял, уязвимость присутствует на уровне TCP, если пакеты TCP содержат специальный флаг URG. Правильно ли я понимаю, что NGINX работает как прокси следующим образом:
Да, если nginx настроен как обратный прокси между клиентами и внутренними серверами нет прямого TCP / IP-соединения.
Nginx работает на уровне 7 модели OSI, уровне приложения, и когда он получает действительные HTTP-запросы, он будет делать свои собственные HTTP-запросы от имени клиентов к соответствующему внутреннему серверу. Удаленные клиенты не могут управлять тем, что происходит между nginx и внутренними серверами на уровне TCP / IP (уровень 3/4 модели OSI).