【漏洞公告】CVE-2017-7529:Nginx敏感信息泄露

梧匠

2017-07-13

2017年7月11日，Nginx官方发布最新的安全公告，漏洞CVE编号为CVE-2017-7529，该在nginx范围过滤器中发现了一个安全问题，通过精心构造的恶意请求可能会导致整数溢出并且不正确处理范围，从而导致敏感信息泄漏，存在安全风险。

具体详情如下:

漏洞编号:

CVE-2017-7529

漏洞名称:

Nginx敏感信息泄露

官方评级:

高危

漏洞描述:

当使用nginx标准模块时，允许攻击者如果从缓存返回响应，则获取缓存文件头，在某些配置中，缓存文件头可能包含IP地址的后端服务器或其他敏感信息，从而导致信息泄露。

漏洞利用条件和方式:

远程利用

漏洞影响范围:

Nginx0.5.6-1.13.2.

漏洞检测:

自查使用的Nginx版本是否在受影响范围内

漏洞修复建议(或缓解措施):

建议升级到Nginx1.13.3,1.12.1

情报来源:

Nginx官方安全公告:http://nginx.org/en/CHANGES

http://mailman.nginx.org/pipermail/nginx-announce/2017/000200.html

[此帖被正禾在2017-07-1310:43重新编辑]

信息泄露 nginx 漏洞

梧匠

0 关注 0 粉丝 0 动态

关注关注

SVN信息泄露漏洞

据介绍，SVN是程序员常用的源代码版本管理软件。在服务器上布署代码时。如果是使用 svn checkout 功能来更新代码，而没有配置好目录访问权限，则会存在此漏洞。黑客利用此漏洞，可以下载整套网站的源代码。svn1.6及以前版本会在项目的每个文件夹下都生

起点 2020-05-10

CTFHUB-技能树-Web-信息泄露

phpinfo：输出 PHP 当前状态的大量信息，包含了 PHP 编译选项、启用的扩展、PHP 版本、服务器信息和环境变量、PHP环境变量、操作系统版本信息、path 变量、配置选项的本地值和主值、HTTP 头和PHP授权信息。

linzb 2020-05-01

信息泄露

在密码位置输入单个字母“g”肯定不会引起错误，所以，这个 SQL 语句是因为多了一个单引号导致的报错。因此，后台的 SQL 查询应该是直接采用的字符串拼接，且没有过滤单引号。一旦这些关键信息被泄露，将会造成十分严重的后果。同时从公司制度上，去提高员工的安全

bjzhangfei 2020-04-16

ctfhub技能树—信息泄露—备份文件下载—网站源码

访问如下地址，即可下载网站源码。发现名为flag_48739440.txt的文本文件。发现没有flag，于是查看其它两个文件的内容

齐天大圣数据候 2020-03-05

黑客攻破域名注册商 Web.com 安全防线，客户私密信息或被泄露

后续调查发现，它的两家子公司也未能幸免。今年早些时候，外媒报道称域名注册商 Web.com 遭遇了黑客攻击和数据泄露。攻击者能够访问到有关客户的私密信息，但 Web.com 未透露有多少人受到影响，外界猜测数以百万计。尽管 Web.com 强调攻击者未能访

ZMichael 2019-11-02

泛微e-cology OA系统某接口存在数据库配置信息泄露漏洞复现

攻击者可通过存在漏洞的页面直接获取到数据库配置信息。有错还希望师傅们指出来）。//StringBuffer和StringBuilder 之间的最大不同在于 StringBuilder 的方法不是线程安全的。//由于 StringBuilder 相较于 St

xiaoxiangyu 2019-11-03

京东商城购物导致个人信息泄露，近期井喷式爆发致多人被诈骗

szqiangmei 2019-10-25

Capital One被黑客入侵，超过1亿用户信息被泄露

Capital One周一披露，一名黑客获得了1亿多名客户和潜在客户的个人信息，包括姓名、地址、电话号码和生日。第一资本是美国一家主要的信用卡发行商，同时也经营零售银行业务。第一资本表示，该公司证实了7月19日的黑客事件。这名黑客已被美国司法部逮捕。消息公

hitlermen 2019-07-30

FormGet泄露了数十万用户上传的文件

一家名为FormGet的印度公司发生了泄密事件。该公司泄露了包含“数十万”用户上传文件的敏感文件，这些文件的日期早在2013年。据报道，该事故是由配置错误的Amazon S3存储桶引起的。一位匿名安全研究人员发现该公司的存储桶在联网后没有设置密码。基于现有

黑木爷 2019-07-30

25000台Linksys智能Wi-Fi路由器存在敏感信息泄露漏洞

自2014年以来泄露大量数据的严重漏洞已暴露出来，未更改默认密码的Linksys路由器甚至可以帮助黑客在现实世界中物理定位设备和用户。研究员Troy Mursch称，超过25,000台Linksys Smart Wi-Fi路由器容易受到敏感信息泄露漏洞的影

axiejundong 2019-05-20

三星Android(安卓)手机系统锁屏功能信息泄露风险的防范

我用的是三星i9220 android系统是2.3.5这个信息泄漏的前提条件是手机开放了屏幕解锁设置功能，且绑定了google帐户或者设置密码保护问题。的按钮正常情况下是需要我们输入之前绑定的google帐号密码就可以设置新的解锁密码不过现在可以长按输入筐

ElvenShi 2012-06-24

如何提升企业数据安全、信息系统数据安全，防止泄露商业机密罪行为的发生

当前企业信息安全、商业机密保护是国内各行业网络管理的热点，在知识经济时代，商业机密的安全管理至关重要。如何防止员工复制电脑文件到U盘携带出去，如何禁止员工通过QQ发送文件将商业机密发送出去，以及如何禁止邮件发送商业机密等，已经成为企业信息安全管理、数据防泄

智链ChainNova 2017-11-14

12306信息泄露黑手成功被抓获

昨天，乌云漏洞平台爆料称，12306网站再现重大漏洞，超过13万用户的账号、密码、邮箱等被泄露出去。随后，经过查证，这次泄露并不是12306犯的错，而且12306也回应称该网站数据库的所有用户密码都是多次加密的非明文转换码，网上泄漏的应该来自其他渠道，同时

cczsmile 2014-12-25

12306明文密码、身份证、邮箱等信息泄露是怎么回事?真相揭晓

12月25日上午，漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告，危害等级显示为“高”，漏洞类型则是“用户资料大量泄漏”。眼下正值春运抢票高峰期，乌云漏洞平台突然爆出了一个骇人听闻的消息：12306用户资料疑似大量泄漏，甚至有明文形式

wxd0 2014-12-24

独家｜信息泄露事件频发，拷问AI时代的数据安全

华住酒店集团共140G约5亿条个人信息遭泄露、并在境外黑市中以8个比特币标价售卖的新闻刚过去不久，最近顺丰也传出被用户在“暗网”上以两个比特币售卖3亿条快递数据的消息。另外，今年八月底，浙江绍兴越城警方破获的一起案件也涉及了公民30亿数据遭剽窃的严峻问题。

数智物语 2018-09-12

如何防止信息泄露？阿里巴巴数据风险防控体系揭秘！

近年来，大规模的个人信息泄漏事件不断发生，由此引发的精准诈骗也经常被媒体报道。有着庞大用户群体和海量交易的阿里巴巴却能独善其身，这背后有什么独门秘籍呢？当我们表明来意时，阿里安全技术平台资深专家玄泰反复提到“御城河”三个字。为了强化我们对御城河的理解和感受

理想国 2017-12-13

又一数据泄露事件！美Quora网站1亿用户信息被盗

6月13日，AcFun弹幕视频网发布公告称，AcFun受黑客攻击，近千万条用户数据外泄，包含用户ID、用户昵称、加密存储的密码等信息。8月，华住酒店被爆出5亿条个人信息遭到泄露。12月3日，美国知名问答社区 Quora 刚刚发公告称，1亿用户数据因为第三方

AlphaH的技术之旅 2018-12-05

还在担心酒店信息泄露，我用Python写了段加密算法，看你怎么破

模拟客户端-服务端Python里面的库真的是非常多，只有你想不到。基本上你想要做的大部分事情都有现成的轮子，不用自己造，socket当然也有！用socket模块建立一个套接字对象server,绑定本地的ip和端口,端口要用冷门的端口！服务端需要响应客户端的

xw0 2018-11-16

GitHub 敏感信息泄露自动提示平台

而就在这个月华住酒店的程序员是不是跟我上面描述写的一模一样，简直神似，把数据库的访问权限上传到了 GitHub 上，而且还有用户名和密码，更有公网访问的 IP 和端口号。所以很容易就把数据给泄露了。我们如果一不小心就把带有密码的代码上传到了 GitHub

包包 2018-09-10

万豪数据泄漏门再敲警钟，酒店集团7步安全建议

前言11月30日，万豪酒店官方发布消息称，多达5亿人次预订喜达屋酒店客人的详细个人信息可能遭到泄露。万豪国际在调查过程中了解到，自2014年起即存在第三方对喜达屋网络未经授权的访问，但公司直到2018年9月才第一次收到警报。近些年洲际、希尔顿、凯悦、文华东

MaQing 2018-12-03

安科网