设为首页收藏本站

 找回密码
 注册论坛

QQ登录

只需一步,快速开始

用百度帐号登录

只需两步,快速登录

新浪微博账号登陆

只需一步,快速开始

搜索
查看: 661|回复: 2

Nginx中危敏感信息泄露漏洞导致服务器源IP泄露(CVE-2017-7529)

[复制链接]

签到天数: 2364 天

[LV.Master]伴坛终老

 成长值: 21560
发表于 2017/7/12 23:39 | 显示全部楼层 |阅读模式 |Google Chrome 59.0.3071.115|Windows 10
天涯海角搜一下: 百度 谷歌 360 搜狗 有道 雅虎 必应 即刻
2017年7月11日,Nginx官方发布最新的安全公告,在Nginx范围过滤器中发现了一个安全问题(CVE-2017-7529),通过精心构造的恶意请求可能会导致整数溢出并且不正确处理范围,从而导致敏感信息泄漏。
当使用Nginx标准模块时,如果文件头从缓存返回响应,允许攻击者获取缓存文件头。在某些配置中,缓存文件头可能包含后端服务器IP地址或其他敏感信息。
此外,如果使用第三方模块有潜在的可能导致拒绝服务。

影响版本
Nginx 0.5.6-1.13.2

漏洞等级
中危

受影响网站:
安全指数分析中国互联网共有713651个网站受到影响。

修复建议
1、升级Nginx到最新无漏洞版本,当前1.13.3,1.12.1版本中已修复了这个问题。
2、临时方案:配置 max_ranges 1;
3、使用百度云加速WAF防火墙进行防御。
4、添加网站至安全指数,及时了解网站组件突发/0day漏洞。

官方介绍:http://mailman.nginx.org/piperma ... ce/2017/000200.html

欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复

使用道具 举报

签到天数: 4 天

[LV.2]偶尔看看I

发表于 2017/7/13 11:39 | 显示全部楼层 |Google Chrome 59.0.3071.115|
CVE-2017-7529  ....我还以为是个番号
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 2364 天

[LV.Master]伴坛终老

 成长值: 21560
发表于 2017/7/13 19:24 | 显示全部楼层 |Google Chrome 59.0.3071.115|Windows 8.1
TRAVIS 发表于 2017/7/13 11:39
CVE-2017-7529  ....我还以为是个番号

漏洞号啊
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册论坛 用百度帐号登录新浪微博账号登陆

本版积分规则

手机版|Archiver|Mail me|网站地图|IT技术交流论坛 ( 闽ICP备13013206号-7 )

GMT+8, 2018/6/24 09:47 , Processed in 0.267945 second(s), 42 queries , Gzip On, Memcache On.

Powered by itzmx!

© 2011-2018 sakura

快速回复 返回顶部 返回列表