西数超哥博客
运维经验教程分享的博客

Nginx中危敏感信息泄露漏洞

漏洞描述

2017年7月11日,Nginx官方发布最新的安全公告,在Nginx范围过滤器中发现了一个安全问题(CVE-2017-7529),通过精心构造的恶意请求可能会导致整数溢出并且不正确处理范围,从而导致敏感信息泄漏。

当使用Nginx标准模块时,如果文件头从缓存返回响应,允许攻击者获取缓存文件头。在某些配置中,缓存文件头可能包含后端服务器IP地址或其他敏感信息。

此外,如果使用第三方模块有潜在的可能导致拒绝服务。

影响版本

Nginx 0.5.6-1.13.2

漏洞等级

中危

受影响网站:

安全指数分析中国互联网共有713651个网站受到影响。

修复建议

1、升级Nginx到最新无漏洞版本,当前1.13.3,1.12.1版本中已修复了这个问题。
2、临时方案:配置 max_ranges 1;
3、使用百度云加速WAF防火墙进行防御。
4、添加网站至安全指数,及时了解网站组件突发/0day漏洞。

了解更多

http://mailman.nginx.org/pipermail/nginx-announce/2017/000200.html

 

原文地址:https://bsi.baidu.com/article/detail/87?qq-pf-to=pcqq.group
使用nginx的小伙伴们需要注意了,根据自己的实际情况搞搞。

转载请注明:西数超哥博客www.ysidc.top» Nginx中危敏感信息泄露漏洞

https://www.ysidc.top 西数超哥博客,数据库,西数超哥,虚拟主机,域名注册,域名,云服务器,云主机,云建站,ysidc.top

赞(0) 打赏
声明:本站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,若涉及侵权请及时告知,将会在第一时间删除。本站原创内容未经允许不得转载:西数超哥学习乐园 » Nginx中危敏感信息泄露漏洞

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏