【漏洞预警】Nginx敏感信息泄露

2017-07-12 12:47:59
Dear user
您好!2017年7月11日, Nginx官方发布最新的安全公告,漏洞CVE编号为CVE-2017-7529,该漏洞在nginx范围过滤器中发现了一个安全问题,通过精心构造的恶意请求可能会导致整数溢出和不正确处理范围,可能导致敏感信息泄漏,存在安全风险。

为避免您的业务受影响,京东云建议您及时开展自查,并尽快完成升级更新,详细参见如下指引说明:

【漏洞概述】
当使用nginx标准模块时,允许攻击者如果从缓存返回响应,则获取缓存文件头。在某些配置中,缓存文件头可能包含IP地址的后端服务器或其他敏感信息,从而导致信息泄露
【漏洞编号】
CVE-2017-7529

【风险等级】
高风险
【漏洞影响】
可能导致敏感信息泄露
【影响范围】
Nginx 0.5.6 - 1.13.2

【检测方法】
自行检查使用的Nginx版本是否在受影响范围内
【修复建议】
升级到Nginx1.13.3, 1.12.1
【相关参考】

JD Cloud team

2017-07-12 12:47:59

This content does not have an English version, but a Chinese version, as shown below.

Do not show this message again.
×