NGINX(コミュニティ版)

nginx 1.13.3 リリース(CVE-2017-7529 対応)

2017年7月11日に nginx 1.13.3 がリリースされました。このリリースではCVE-2017-7529に対応しています。

nginx 1.13.3 リリース(CVE-2017-7529 対応)

nginx 1.13.3 がリリースされました。このリリースでは CVE-2017-7529 に対応しています。

この脆弱性では下記のレポートが公開されています。

nginxの “range filter”でセキュリティの問題が確認されました。 特別に細工された要求により、整数のオーバーフローや不正な範囲の処理が行われ、機密情報の漏洩を招く可能性があります。

標準モジュールでnginxを使用すると、キャッシュから応答が返された場合、攻撃者はキャッシュファイルヘッダを取得できます。 いくつかの構成では、キャッシュファイルヘッダは、バックエンドサーバのIPアドレスまたは他の機密情報を含むことができます。

この脆弱性が影響するバージョンは下記の範囲になります。

  • nginx 0.5.6 – 1.13.2.

 

この脆弱性問題は以下のバージョンで修正されています。

  • nginx 1.13.3, 1.12.1.

 

リリース原文は下記となります。

Changes with nginx 1.13.3                    11 Jul 2017

*) Security: a specially crafted request might result in an integer overflow and incorrect processing of ranges in the range filter, potentially resulting in sensitive information leak (CVE-2017-7529).

コメントを残す

*