Vulnerabilidad de desbordamiento de entero en Nginx

Fecha de publicación:

12/07/2017

Importancia:

4 - Alta

Recursos afectados:

Versiones de Nginx de 0.5.6 a 1.13.2.

Descripción:

Se ha publicado una vulnerabilidad en Nginx que permitiría la fuga de información a través de peticiones especialmente preparadas.

Solución:

Actualizar a la una de las versiones no afectas (1.13.3, 1.12.1).

Para versiones anteriores, se puede usar la siguiente configuración como una solución temporal:

max_ranges 1;

El parche que soluciona el problema se puede encontrar en: http://nginx.org/download/patch.2017.ranges.txt

Detalle:

Se ha publicado una vulnerabilidad de desbordamiento de entero en el servidor web/proxy inverso Nginx al no tratar de forma adecuado rangos, lo que podría ser usado para exfiltrar datos del servidor mediante peticiones especialmente manipuladas.

Se ha asignado el identificador CVE-2017-7529 para esta vulnerabilidad.

Referencias:

[nginx-announce] nginx security advisory (CVE-2017-7529)

Etiquetas:

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de desbordamiento de entero en Nginx

Múltiples vulnerabilidades en varios productos de Cisco

Vulnerabilidad de gestión incorrecta de URL en VMware Carbon Black Cloud Workload

[Actualización 05/04/2021] Múltiples vulnerabilidades en productos VMware

Múltiples vulnerabilidades en Orion Platform de SolarWinds

Vulnerabilidad 0day en productos de Apple