Nginx中危敏感信息泄露漏洞_seo技术分享-栗子SEO交

近日,百度安全指数平台突然发布Nginx漏洞,肖凯seo博客转载并与朋友分享。Nginx(引擎x)是高性能的HTTP和反向代理服务器,也是IMAP/POP3/SMTP服务器。Nginx是Igor Thesoev为Rambler.ru(俄语:санблер)开发的,是俄罗斯第二大访问量网站。第一个公开版本于2004年10月4日发布。它以类似BSD的许可证形式发布源代码,以稳定、功能集丰富、配置文件样本多、系统资源消耗低著称。2011年6月1日,nginx 1.0.4发布。

Nginx中危敏感信息泄露漏洞_seo技术分享-栗子SEO交

Nginx是一个轻量级的Web服务器/反向代理服务器和电子邮件(IMAP/POP3)代理服务器,在一个类似BSD的协议下分发。它的特点是内存少,并发性强。事实上,nginx的并发性在相同类型的web服务器中确实表现良好。nginx网站在中国大陆的用户有百度、JD.COM、新浪、网易、腾讯、淘宝等。(百度百科)

漏洞描述

2017年7月11日,Nginx官方发布最新安全公告,发现Nginx范围过滤器存在安全问题(CVE-2017-7529),可能导致整数溢出,范围处理不正确,导致敏感信息泄露。

使用Nginx标准模块时,如果文件头从缓存返回响应,则允许攻击者获取缓存的文件头。在某些配置中,缓存头可能包含后端服务器的IP地址或其他敏感信息。

另外,使用第三方模块可能会导致拒绝服务。

受影响版本:Nginx 0.5.6-1.13.2

漏洞等级:中等风险

受影响网站:

安全指数分析中国互联网共有713,651个网站受影响。

修复建议

1。将Nginx升级到最新的无bug版本。这个问题在当前的1.13.3和1.12.1版本中已经修复;

2。临时方案:配置max _ ranges 1;

3、使用百度云加速WAF防火墙进行防御;

4。将网站添加到安全索引中,及时知道网站组件burst /0day漏洞。

了解详情

http://melman . nginx . org/piper mail/nginx-公告/2017/000200.html