Vulnerabilidad de desbordamiento de entero en Nginx

Fecha de publicación:

12/07/2017

Importancia:

4 - Alta

Recursos afectados:

Versiones de Nginx de 0.5.6 a 1.13.2.

Descripción:

Se ha publicado una vulnerabilidad en Nginx que permitiría la fuga de información a través de peticiones especialmente preparadas.

Solución:

Actualizar a la una de las versiones no afectas (1.13.3, 1.12.1).

Para versiones anteriores, se puede usar la siguiente configuración como una solución temporal:

max_ranges 1;

El parche que soluciona el problema se puede encontrar en: http://nginx.org/download/patch.2017.ranges.txt

Detalle:

Se ha publicado una vulnerabilidad de desbordamiento de entero en el servidor web/proxy inverso Nginx al no tratar de forma adecuado rangos, lo que podría ser usado para exfiltrar datos del servidor mediante peticiones especialmente manipuladas.

Se ha asignado el identificador CVE-2017-7529 para esta vulnerabilidad.

Referencias:

[nginx-announce] nginx security advisory (CVE-2017-7529)

Etiquetas:

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de desbordamiento de entero en Nginx

Actualización de seguridad de SAP de junio de 2021

Actualizaciones de seguridad de Microsoft de junio de 2021

Múltiples vulnerabilidades en productos de Cisco

Vulnerabilidad XSW en la librería Lasso

Múltiples vulnerabilidades en IBM Application Gateway