2017年7月11日,Nginx官方发布最新的安全公告,漏洞CVE编号为CVE-2017-7529,该在nginx范围过滤器中发现了一个安全问题,通过精心构造的恶意请求可能会导致整数溢出并且不正确处理范围,可能导致敏感信息泄漏,存在安全风险。
具体详情如下:
漏洞编号:
CVE-2017-7529
漏洞名称:
Nginx敏感信息泄露漏洞
官方评级:
高危
漏洞描述:
当使用nginx标准模块时,这允许攻击者如果从缓存返回响应,则获取缓存文件头。在某些配置中,缓存文件头可能包含IP地址的后端服务器或其他敏感信息,从而导致信息泄露。
漏洞利用条件和方式:
远程利用
漏洞影响范围:
Nginx 0.5.6 – 1.13.2.
漏洞检测:
自查使用的Nginx版本是否在受影响范围内
漏洞修复建议(或缓解措施):
建议升级到Nginx1.13.3, 1.12.1。
情报来源:
- Nginx官方安全公告:http://nginx.org/en/CHANGES
- http://mailman.nginx.org/pipermail/nginx-announce/2017/000200.html
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/258779.html