起因：客戶現(xiàn)場用綠盟的安全掃描，發(fā)給我一個報告，要求我們修復(fù)漏洞。

這個事我就挺奇怪，上次修復(fù)也不久，怎么又出問題。當(dāng)時報告了3臺設(shè)備，我分別build了兩個版本，一個是mainline的1.23.3，一個是stable的1.22.1。然后1.23.3的通過了，1.22.1的又檢測出來。

然后我就按照CVE編號和github地址去看了一下，結(jié)論是，綠盟這個老六，看到CVE也不驗證評估一下，無腦入庫。

首先這個CVE編號已經(jīng)被官方拒絕了。

https://www.cve.org/CVERecord?id=CVE-2022-3638

然后去看看提交日期。

https://nvd.nist.gov/vuln/detail/CVE-2022-3638

日期和綠盟的發(fā)現(xiàn)日期相差不久。

然后看看綠盟發(fā)出來的代碼修復(fù)方案。進了github發(fā)現(xiàn)綠盟就是純純的老6了，這個代碼7月就修復(fù)了。影響應(yīng)該只涉及到mainline版本，9月份提交CVE, 那Nginx當(dāng)然得拒絕，都改完了還提交個P漏洞。

Nginx官方在7月當(dāng)月就發(fā)布了新版本，綠盟甚至連版本號都搞錯了。

再看看源碼 stable版本甚至都沒有這個問題。發(fā)布時間也比較早，不存在偷偷暗改的情況。

也就是說實際版本影響是1.23.0這個版本， 1.23.1就已經(jīng)修復(fù)了。

其他：綠盟干這種豬逼事情也不是第一次了，nacos以前有一次身份驗證漏洞，代碼邏輯上有問題，只要關(guān)閉nacos驗證模塊的白名單就行了，綠盟也是死咬版本不放，poc測試返回http403，還在嘴硬存在漏洞，他們的邏輯是沒有漏洞應(yīng)該訪問不通。這個事情最后不了了之，看來他們是一點都不會思考。