Vulnerabilidad de desbordamiento de entero en Nginx
Fecha de publicación:
12/07/2017
Importancia:
4 -
Alta
Recursos afectados:
- Versiones de Nginx de 0.5.6 a 1.13.2.
Descripción:
Se ha publicado una vulnerabilidad en Nginx que permitiría la fuga de información a través de peticiones especialmente preparadas.
Solución:
Actualizar a la una de las versiones no afectas (1.13.3, 1.12.1).
Para versiones anteriores, se puede usar la siguiente configuración como una solución temporal:
max_ranges 1;
El parche que soluciona el problema se puede encontrar en: http://nginx.org/download/patch.2017.ranges.txt
Detalle:
Se ha publicado una vulnerabilidad de desbordamiento de entero en el servidor web/proxy inverso Nginx al no tratar de forma adecuado rangos, lo que podría ser usado para exfiltrar datos del servidor mediante peticiones especialmente manipuladas.
Se ha asignado el identificador CVE-2017-7529 para esta vulnerabilidad.
Etiquetas: