Bonsoir,
Apparemment il y a une faille dans Nginx.
Pour la corriger il faut rajouter:
For older versions, the following configuration can be used
as a temporary workaround:
max_ranges 1;C'est au niveau du fichier nginx.conf? 
[PATCH][NGINX] - CVE-2017-7529
D'après la documentation nginx, tu as le choix :
Syntax: max_ranges number;
Default: —
Context: http, server, locationDonc oui, dans nginx.conf ça ira et ça réglera le problème pour tous tes vhosts, mais si tu préfères tu peux aussi le mettre dans tes vhost.
Aerya a renommé le titre en [PATCH][NGINX] - CVE-2017-7529.
Aerya a épinglé la discussion.
Intéressant, j'en ai pas entendu parler de celle-ci (oui je sais, ce n'est pas bien, je ne suis pas inscrit aux listes de diffusion debian/nginx etc).
Je vais faire un petit tour de mes serveurs ce soir, voir s'ils sont concernés. A mon avis il y a des chances que les raspberry avec install depuis les dépôts puissent l'être.
Merci pour l'info.
- Modifié
Bonsoir. Étant abonné sur la liste de diffusion de Debian security, j'ai reçu donc le mail de nginx le 12 juillet à 23h25.
Je mets ci-dessous le mail complet :
Debian Security Advisory DSA-3908-1 security@debian.org
https://www.debian.org/security/ Moritz Muehlenhoff
July 12, 2017 https://www.debian.org/security/faq
Package : nginx
CVE ID : CVE-2017-7529An integer overflow has been found in the HTTP range module of Nginx, a
high-performance web and reverse proxy server, which may result in
information disclosure.For the oldstable distribution (jessie), this problem has been fixed
in version 1.6.2-5+deb8u5.For the stable distribution (stretch), this problem has been fixed in
version 1.10.3-1+deb9u1.For the unstable distribution (sid), this problem will be fixed soon.
We recommend that you upgrade your nginx packages.
Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: https://www.debian.org/security/Mailing list: debian-security-announce@lists.debian.org
Merci beaucoup pour l'information, corrigé!
merci pour l'info !
un mois plus tard
Aerya a désépinglé la discussion.