Vulnerabilidad de desbordamiento de entero en Nginx

Fecha de publicación: 
12/07/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • Versiones de Nginx de 0.5.6 a 1.13.2.
Descripción: 

Se ha publicado una vulnerabilidad en Nginx que permitiría la fuga de información a través de peticiones especialmente preparadas.

Solución: 

Actualizar a la una de las versiones no afectas (1.13.3, 1.12.1).

Para versiones anteriores, se puede usar la siguiente configuración como una solución temporal:

max_ranges 1;

El parche que soluciona el problema se puede encontrar en:  http://nginx.org/download/patch.2017.ranges.txt

Detalle: 

Se ha publicado una vulnerabilidad de desbordamiento de entero en el servidor web/proxy inverso Nginx al no tratar de forma adecuado rangos, lo que podría ser usado para exfiltrar datos del servidor mediante peticiones especialmente manipuladas.

Se ha asignado el identificador CVE-2017-7529 para esta vulnerabilidad.

Etiquetas: