Se ha publicado una vulnerabilidad en Nginx que permitiría la fuga de información a través de peticiones especialmente preparadas, catalogada de Importancia: 4 – Alta

Recursos afectados:

  • Versiones de Nginx de 0.5.6 a 1.13.2.

Recomendación

  • Actualizar a la una de las versiones no afectas (1.13.3, 1.12.1).
  • Para versiones anteriores, se puede usar la siguiente configuración como una solución temporal:

max_ranges 1;

Detalle e impacto de la vulnerabilidad

  • Se ha publicado una vulnerabilidad de desbordamiento de entero en el servidor web/proxy inverso Nginx al no tratar de forma adecuado rangos, lo que podría ser usado para exfiltrar datos del servidor mediante peticiones especialmente manipuladas.
  • Se ha asignado el identificador CVE-2017-7529 para esta vulnerabilidad.

Más información

Fuente: INCIBE