Vulnerabilidad de desbordamiento de entero en Nginx

Fecha de publicación:

12/07/2017

Importancia:

4 - Alta

Recursos afectados:

Versiones de Nginx de 0.5.6 a 1.13.2.

Descripción:

Se ha publicado una vulnerabilidad en Nginx que permitiría la fuga de información a través de peticiones especialmente preparadas.

Solución:

Actualizar a la una de las versiones no afectas (1.13.3, 1.12.1).

Para versiones anteriores, se puede usar la siguiente configuración como una solución temporal:

max_ranges 1;

El parche que soluciona el problema se puede encontrar en: http://nginx.org/download/patch.2017.ranges.txt

Detalle:

Se ha publicado una vulnerabilidad de desbordamiento de entero en el servidor web/proxy inverso Nginx al no tratar de forma adecuado rangos, lo que podría ser usado para exfiltrar datos del servidor mediante peticiones especialmente manipuladas.

Se ha asignado el identificador CVE-2017-7529 para esta vulnerabilidad.

Referencias:

[nginx-announce] nginx security advisory (CVE-2017-7529)

Etiquetas:

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de desbordamiento de entero en Nginx

Omisión de autentificación en ManageEngine Desktop Central

Múltiples vulnerabilidades en Cisco Redundancy Configuration Manager

Múltiples vulnerabilidades en el core de Drupal

Actualizaciones críticas en Oracle (enero 2022)

Múltiples vulnerabilidades en IBM HTTP Server