Nginx range filter模块数字错误漏洞(CVE-2017-7529)解决方法

时间  2019-11-29
标签 nginx range filter 模块 数字 错误 漏洞 cve 解决 方法 栏目 Nginx 繁體版
原文   原文链接

Nginx range filter模块数字错误漏洞(CVE-2017-7529)解决方法

漏洞描述

Nginx 0.5.6版本至1.13.2版本中的range filter模块存在整数溢出漏洞html

解决方法

  1. nginx.conf的server里增长max_ranges 1;
  2. 升级nginx版本到1.13.3或1.12.1或以上

以公司118机器为例:nginx

server {
        listen 8080;
        server_name  eureka.china.cn;
        max_ranges 1;
        location / {
           proxy_pass http://1.13.22.118:8761;
        }
   }

官网描述

The issue affects nginx 0.5.6 - 1.13.2. The issue is fixed in nginx 1.13.3, 1.12.1. For older versions, the following configuration can be used as a temporary workaround: max_ranges 1; Patch for the issue can be found here: http://nginx.org/download/patch.2017.ranges.txt设计

参考

http://mailman.nginx.org/pipermail/nginx-announce/2017/000200.html代理

附录

漏洞编号|0004131A -| 漏洞类型|WEB类 危险级别| 高危险 影响平台|Nginx 0.5.6 to 1.13.2 CVSS分值|7.5 bugtraq编号| CVE编号|CVE-2017-7529 CNCVE编号|CNCVE-20177529 国家漏洞库编号|CNNVD-201707-563 存在主机|12.96.28.2code

简单描述|Nginx 0.5.6版本至1.13.2版本中的range filter模块存在整数溢出漏洞 -| 详细描述|Nginx是由俄罗斯的程序设计师Igor Sysoev所开发的一款轻量级Web务服器/反向代理服wu器及电子邮件(IMAP/POP3)代理服wu器。range filter module是其中的一个范围过滤器模块。 Nginx 0.5.6版本至1.13.2版本中的range filter模块存在整数溢出漏洞。攻击者可利用该漏洞获取敏感信息。 修补建议|目前厂商已发布升级补丁以修复漏洞,补丁获取连接: http://mailman.nginx.org/pipermail/nginx-announce/2017/000200.html 参考网址|MLIST:[nginx-announce] 20170711 nginx security advisory (CVE-2017-7529) URL:http://mailman.nginx.org/pipermail/nginx-announce/2017/000200.html BID:99534 URL:http://www.securityfocus.com/bid/99534 SECTRACK:1039238 URL:http://www.securitytracker.com/id/1039238server

PS:提示这个是什么鬼?? htm

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程