El Red Hat y por lo tanto CentOS en su versión 7 no han liberado parche para esto debido a que el nivel de riesgo solo es moderado y el acceso a la información es muy complejo según lo define RedHat.
Sin embargo, si eres un poco paranoico y tienes un tiempo límite de espera como yo que decidí esperar 3 días para obtener el parche oficial en RedHat pero este no ha llegado, existe una solución, la más simple de cualquier linuxero conoce. Bajar el código fuente con los parches y compilar tú mismo.
Primero se bajan los códigos fuentes de Nginx en su versión estable y la versión parchada al 3 de mayo de LibreSSL, LibreSSL un esfuerzo similar a OpenSSL pero más ligero, por ahora.
Los códigos fuentes puedes ser obtenidos de:
http://ftp.openbsd.org/pub/OpenBSD/LibreSSL/libressl-2.3.4.tar.gz
http://nginx.org/download/nginx-1.10.0.tar.gz
Pasos para actualizar un Nginx en CentOS 7 usando código fuente:
asumiendo que la compilación será en el home de root en /root y que el destino de instalación de nginx será /usr/nginx10libressl2.3.4/
1 Descomprimir ambos archivos .tar.gz en /root
2 entrar a la carpeta o directorio del código fuente de nginx
3 ejecutar el configure con las siguientes parámetros.
./configure --with-http_v2_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_ssl_module --prefix=/usr/nginx10libressl2.3.4/ --with-openssl=/root/libressl-2.3.4
4 make y si compilo todo correctamente make install
5 finalmente se copia todas las configuraciones del viejo nginx al nuevo instalado en /usr/nginx10libressl2.3.4/
6 apagar el servicio de la versión vieja de nginx y levantar el de la nueva versión.
Es todo.
Puedes verificar si tu servidor web es vulnerable aquí:
https://filippo.io/CVE-2016-2107/
Imágenes del antes y después.
