齐乐娱乐

关于Nginx range过滤器模块漏洞情况的通报

${website.getHeaderOriginal(${article.taxonomyName})}

近日··|,国家信息安全漏洞库(CNNVD)收到关于Nginx range过滤器模块数字错误漏洞(CNNVD-201707-563)情况的报送··|--。该漏洞可造成后端服务器IP地址和内存泄露··|,或导致拒绝服务··|--。目前··|,Nginx官方已针对上述漏洞发布修复补丁··|--。国家信息安全漏洞库(CNNVD)对此进行了跟踪分析··|,具体情况如下:


一、漏洞简介

Nginx是由俄罗斯的程序设计师Igor Sysoev所开发的一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器··|--。


Nginx 0.5.6版本至1.13.2版本中存在远程整数溢出漏洞(CNNVD-201707-563,CVE-2017-7529)··|--。该漏洞是由于Nginx在处理HTTP  range请求时··|,没有对用户提交的数据执行充分的边界检测··|--。远程攻击者可利用该漏洞获取敏感信息(如后端服务器的IP地址)或可能造成拒绝服务(应用程序崩溃)··|--。


二、漏洞危害

攻击者可以通过发送恶意的HTTP请求来触发该漏洞··|,获取服务器敏感信息··|--。据统计··|,全球共有两千万个网站部署该服务器··|,中国占10%··|,影响范围较大··|--。


三、修复建议

目前··|,Nginx官方已针对该漏洞发布修复补丁··|,请受影响用户及时检查是否受该漏洞影响··|--。


【升级修复】

部署Nginx的用户··|,可升级至Nginx 1.13.3或1.12.1版本以消除漏洞影响··|--。

补丁链接:http://mailman.nginx.org/pipermail/nginx-announce/2017/000200.html


本通报由CNNVD技术支撑单位--杭州安恒信息技术有限公司提供支持··|--。

CNNVD将继续跟踪上述漏洞的相关情况··|,及时发布相关信息··|--。如有需要··|,可与CNNVD联系··|--。


 联系方式: cnnvd@itsec.gov.cn


${website.getFooterOriginal(${article.taxonomyName})}

发布者 :齐乐娱乐_齐乐娱乐qile518_齐乐娱乐最新网址 - 分类 齐乐娱乐最新网址