目前看来开发者无法单独升级nginx,或者说会遇到比较多的问题,但是漏洞也不能一直不处理,不然只能用回原生的nginx 了
在 4 月 11 日,NGINX 发文[1]回应称,经过调查,发现该问题仅影响参考实现。具体来说,NGINX LDAP 参考实现使用 LDAP 来验证被 NGINX 代理的应用程序的用户。NGINX Open Source 和 NGINX Plus 本身不受影响,如果您不使用参考实现,则无需采取任何纠正措施。
LDAP默认是不编译的,那是不是可以理解为,如果没有主动开启LDAP,这个漏洞暂时可以忽略
tan0237 https://www.nginx.com/blog/addressing-security-weaknesses-nginx-ldap-reference-implementation/
ask for help too
我个人理解这个漏洞和nginx本身无关,只要没有用他那个python守护进程做鉴权就没啥影响。看样子是他那个python 代码有问题。并且我也没有在nginx的提交历史上看到对这个问题的修复
