Se ha publicado una vulnerabilidad en
Nginx que permitiría la fuga de información a través de peticiones
especialmente preparadas, catalogada de Importancia: 4 - Alta
Recursos afectados:
• Versiones de Nginx de
0.5.6 a 1.13.2.
Recomendación
- Actualizar a la una de las versiones no afectas
(1.13.3, 1.12.1).
- Para versiones anteriores, se puede usar la
siguiente configuración como una solución temporal:
max_ranges
1;
- El parche que
soluciona el problema se puede encontrar en: http://nginx.org/download/patch.2017.ranges.txt
Detalle e impacto de
la vulnerabilidad
- Se ha publicado una vulnerabilidad de desbordamiento
de entero en el servidor web/proxy inverso Nginx al no tratar de forma
adecuado rangos, lo que podría ser usado para exfiltrar datos del servidor
mediante peticiones especialmente manipuladas.
- Se ha asignado el identificador CVE-2017-7529 para
esta vulnerabilidad.
Más información
·
[nginx-announce]
nginx security advisory (CVE-2017-7529) http://mailman.nginx.org/pipermail/nginx-announce/2017/000200.html
Fuente: INCIBE