Nginx整数溢出漏洞(CVE-2017-7529)复现

前言

整数溢出：当一个整数存入了比它本身小的存储空间中，超出了数据类型所能表示的范围时，就会发生整数溢出

比如一个short类型的变量a=32767，当a+5时会变成-32764，因为超出了short类型的数据范围，造成上溢。其中最高位用0表示正数，1表示负数

32767+5 = 0111111111111111 + 0000000000000101 = 1000000000000100(-32764)

漏洞分析

漏洞原理：

如果请求中包含Range头，Nginx会根据指定的start和end位置，返回指定长度的内容。攻击者可以构造两个负的位置来获取响应中的缓存文件头部信息。在某些配置中，缓存文件头可能包含后端服务器的IP地址或其它敏感信息，比如缓存文件中位于HTTP返回包体前的文件头、HTTP返回包头，从而导致信息泄露。

影响版本：

Nginx version 0.5.6 - 1.13.2

修复版本：

Nginx version 1.13.3, 1.12.1

漏洞复现

环境：docker+vulhub

启动环境

cd  /vulhub-master/nginx/CVE-2017-7529
docker-compose up -d

漏洞检测

python3 poc.py http://127.0.0.1:8080

返回获取到的信息

漏洞修复

1.更新Nginx到修复版本1.13.3或1.12.1

下载地址：http://nginx.org/en/download.html

2.若无法升级，可以在Nginx配置文件/nginx/conf/nginx.conf中添加max_ranges 1;，从而禁用multipart range