Vulnerabilidad de desbordamiento de entero en Nginx

Fecha de publicación:

12/07/2017

Importancia:

4 - Alta

Recursos afectados:

Versiones de Nginx de 0.5.6 a 1.13.2.

Descripción:

Se ha publicado una vulnerabilidad en Nginx que permitiría la fuga de información a través de peticiones especialmente preparadas.

Solución:

Actualizar a la una de las versiones no afectas (1.13.3, 1.12.1).

Para versiones anteriores, se puede usar la siguiente configuración como una solución temporal:

max_ranges 1;

El parche que soluciona el problema se puede encontrar en: http://nginx.org/download/patch.2017.ranges.txt

Detalle:

Se ha publicado una vulnerabilidad de desbordamiento de entero en el servidor web/proxy inverso Nginx al no tratar de forma adecuado rangos, lo que podría ser usado para exfiltrar datos del servidor mediante peticiones especialmente manipuladas.

Se ha asignado el identificador CVE-2017-7529 para esta vulnerabilidad.

Referencias:

[nginx-announce] nginx security advisory (CVE-2017-7529)

Etiquetas:

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de desbordamiento de entero en Nginx

Ejecución remota de código en DrayTek Vigor Routers

Múltiples vulnerabilidades en routers Cisco Small Business

Múltiples vulnerabilidades en productos VMware

Múltiples vulnerabilidades en routers Arris

Omisión de autenticación en Dell CloudLink