[0day] CVE-2017-7529 Nginx 敏感信息泄露

2017-07-12 11:50:00 +08:00
 mytsing520
漏洞编号:CVE-2017-7529
漏洞名称:Nginx 敏感信息泄露
官方评级:高危
漏洞描述:当使用 nginx 标准模块时,允许攻击者如果从缓存返回响应,则获取缓存文件头,在某些配置中,缓存文件头可能包含 IP 地址的后端服务器或其他敏感信息,从而导致信息泄露。
漏洞利用条件和方式:远程利用
漏洞影响范围:Nginx 0.5.6 - 1.13.2
修复建议:升级到 Nginx 1.13.3, 1.12.1。
4883 次点击
所在节点    NGINX
4 条回复
light
2017-07-13 13:14:12 +08:00
这是什么漏洞?
mytsing520
2017-07-13 13:47:40 +08:00
@light 利用 Nginx 的反向代理和缓存功能对真实 Web 业务服务器产生影响,不过经过测试,利用条件比较苛刻,虽然各大 WAF 厂家已经在连夜升级版本
ytlm
2017-07-13 15:51:59 +08:00
有没有人来解释一下具体的问题,怎样导致的,怎样修复的,可以具体到代码?
mytsing520
2017-07-13 16:45:23 +08:00

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/374739

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX