UCloud-201707-002:Nginx敏感信息泄露漏洞安全预警 | U刻
  • UCloud-201707-002:Nginx敏感信息泄露漏洞安全预警

    栏目:安全资讯
    尊敬的UCloud用户:

    Nginx在官方公告中称发现了一个范围过滤器中的中危安全问题(CVE-2017-7529)。通过精心构造的恶意请求能造成整数溢出,对范围的不当处理会导致敏感信息泄漏。请及时对您使用的Nginx进行升级防御。

    影响范围

    Nginx version 0.5.6 – 1.13.2

    修复方案
    1.官方补丁已经发布,建议受影响用户尽快升级至1.13.3, 1.12.1或及时patch

    http://nginx.org/download/patch.2017.ranges.txt

    漏洞详情

    CVE-2017-7529:当使用nginx标准模块时,攻击者可以通过发送包含恶意构造 range 域的 header 请求,来获取响应中的缓存文件头部信息。在某些配置中,缓存文件头可能包含后端服务器的IP地址或其它敏感信息,从而导致信息泄露。

    参考链接
    1