1. 首页
  2. 站点公告

TCloud-201707-001:Nginx敏感信息泄露漏洞安全预警

Nginx在官方公告中称发现了一个范围过滤器中的中危安全问题(CVE-2017-7529)。通过精心构造的恶意请求能造成整数溢出,对范围的不当处理会导致敏感信息泄漏。请及时对您使用的Nginx进行升级防御。

影响范围
Nginx version 0.5.6 – 1.13.2

修复方案
1.官方补丁已经发布,建议受影响用户尽快升级至1.13.3, 1.12.1或及时patch
http://mailman.nginx.org/pipermail/nginx-announce/2017/000200.html
http://nginx.org/download/patch.2017.ranges.txt

漏洞详情
CVE-2017-7529:当使用nginx标准模块时,攻击者可以通过发送包含恶意构造 range 域的 header 请求,来获取响应中的缓存文件头部信息。在某些配置中,缓存文件头可能包含后端服务器的IP地址或其它敏感信息,从而导致信息泄露。

参考链接
https://cwiki.apache.org/confluence/display/WW/S2-048

本文来自TCloud,如若转载,请注明出处:https://www.tcloud.io/829.html

全行业托管云平台,助力千万业务轻松上云