Nginx中危敏感信息泄露漏洞导致服务器源IP泄露(CVE-2017-7529)

小樱

2017年7月11日，Nginx官方发布最新的安全公告，在Nginx范围过滤器中发现了一个安全问题（CVE-2017-7529），通过精心构造的恶意请求可能会导致整数溢出并且不正确处理范围，从而导致敏感信息泄漏。
当使用Nginx标准模块时，如果文件头从缓存返回响应，允许攻击者获取缓存文件头。在某些配置中，缓存文件头可能包含后端服务器IP地址或其他敏感信息。
此外，如果使用第三方模块有潜在的可能导致拒绝服务。

影响版本
Nginx 0.5.6-1.13.2

漏洞等级
中危

受影响网站：
安全指数分析中国互联网共有713651个网站受到影响。

修复建议
1、升级Nginx到最新无漏洞版本，当前1.13.3,1.12.1版本中已修复了这个问题。
2、临时方案：配置 max_ranges 1;
3、使用百度云加速WAF防火墙进行防御。
4、添加网站至安全指数，及时了解网站组件突发/0day漏洞。

官方介绍：http://mailman.nginx.org/pipermail/nginx-announce/2017/000200.html

TRAVIS

CVE-2017-7529  ....我还以为是个番号

小樱

TRAVIS 发表于 2017/7/13 11:39
CVE-2017-7529  ....我还以为是个番号

漏洞号啊