2017年7月11日に nginx 1.13.3 がリリースされました。このリリースではCVE-2017-7529に対応しています。
nginx 1.13.3 リリース(CVE-2017-7529 対応)
nginx 1.13.3 がリリースされました。このリリースでは CVE-2017-7529 に対応しています。
この脆弱性では下記のレポートが公開されています。
nginxの “range filter”でセキュリティの問題が確認されました。 特別に細工された要求により、整数のオーバーフローや不正な範囲の処理が行われ、機密情報の漏洩を招く可能性があります。
標準モジュールでnginxを使用すると、キャッシュから応答が返された場合、攻撃者はキャッシュファイルヘッダを取得できます。 いくつかの構成では、キャッシュファイルヘッダは、バックエンドサーバのIPアドレスまたは他の機密情報を含むことができます。
この脆弱性が影響するバージョンは下記の範囲になります。
- nginx 0.5.6 – 1.13.2.
この脆弱性問題は以下のバージョンで修正されています。
- nginx 1.13.3, 1.12.1.
リリース原文は下記となります。
| Changes with nginx 1.13.3 11 Jul 2017 *) Security: a specially crafted request might result in an integer overflow and incorrect processing of ranges in the range filter, potentially resulting in sensitive information leak (CVE-2017-7529). |