Mercurial > hg > nginx-site

--- a/text/en/CHANGES	Wed Jul 05 15:30:48 2017 +0300
+++ b/text/en/CHANGES	Tue Jul 11 18:40:50 2017 +0300
@@ -1,4 +1,11 @@

+Changes with nginx 1.13.3                                        11 Jul 2017
+
+    *) Security: a specially crafted request might result in an integer
+       overflow and incorrect processing of ranges in the range filter,
+       potentially resulting in sensitive information leak (CVE-2017-7529).
+
+
 Changes with nginx 1.13.2                                        27 Jun 2017

     *) Change: nginx now returns 200 instead of 416 when a range starting
--- a/text/en/CHANGES-1.12	Wed Jul 05 15:30:48 2017 +0300
+++ b/text/en/CHANGES-1.12	Tue Jul 11 18:40:50 2017 +0300
@@ -1,4 +1,11 @@

+Changes with nginx 1.12.1                                        11 Jul 2017
+
+    *) Security: a specially crafted request might result in an integer
+       overflow and incorrect processing of ranges in the range filter,
+       potentially resulting in sensitive information leak (CVE-2017-7529).
+
+
 Changes with nginx 1.12.0                                        12 Apr 2017

     *) 1.12.x stable branch.
--- a/text/ru/CHANGES.ru	Wed Jul 05 15:30:48 2017 +0300
+++ b/text/ru/CHANGES.ru	Tue Jul 11 18:40:50 2017 +0300
@@ -1,4 +1,12 @@

+Изменения в nginx 1.13.3                                          11.07.2017
+
+    *) Безопасность: специально созданный запрос мог вызвать целочисленное
+       переполнение в range-фильтре и последующую некорректную обработку
+       запрошенных диапазонов, что потенциально могло привести к утечке
+       конфиденциальной информации (CVE-2017-7529).
+
+
 Изменения в nginx 1.13.2                                          27.06.2017

     *) Изменение: теперь при запросе диапазона, начинающегося с 0, из
--- a/text/ru/CHANGES.ru-1.12	Wed Jul 05 15:30:48 2017 +0300
+++ b/text/ru/CHANGES.ru-1.12	Tue Jul 11 18:40:50 2017 +0300
@@ -1,4 +1,12 @@

+Изменения в nginx 1.12.1                                          11.07.2017
+
+    *) Безопасность: специально созданный запрос мог вызвать целочисленное
+       переполнение в range-фильтре и последующую некорректную обработку
+       запрошенных диапазонов, что потенциально могло привести к утечке
+       конфиденциальной информации (CVE-2017-7529).
+
+
 Изменения в nginx 1.12.0                                          12.04.2017

     *) Стабильная ветка 1.12.x.
--- a/xml/en/security_advisories.xml	Wed Jul 05 15:30:48 2017 +0300
+++ b/xml/en/security_advisories.xml	Tue Jul 11 18:40:50 2017 +0300
@@ -24,6 +24,14 @@

 <security>

+<item name="Integer overflow in the range filter"
+      severity="medium"
+      cve="2017-7529"
+      good="1.13.3+, 1.12.1+"
+      vulnerable="0.5.6-1.13.2">
+<patch name="patch.2017.ranges.txt" />
+</item>
+
 <item name="NULL pointer dereference while writing client request body"
       severity="medium"
       advisory="http://mailman.nginx.org/pipermail/nginx-announce/2016/000179.html"
--- a/xml/index.xml	Wed Jul 05 15:30:48 2017 +0300
+++ b/xml/index.xml	Tue Jul 11 18:40:50 2017 +0300
@@ -7,6 +7,18 @@

 <news name="nginx news" link="/" lang="en">

+<event date="2017-07-11">
+<para>
+<link doc="en/download.xml">nginx-1.12.1</link>
+stable and
+<link doc="en/download.xml">nginx-1.13.3</link>
+mainline versions have been released
+with a fix for the
+<link doc="en/security_advisories.xml">integer overflow in the range
+filter</link> vulnerability (CVE-2017-7529).
+</para>
+</event>
+
 <event date="2017-06-27">
 <para>
 <link doc="en/download.xml">nginx-1.13.2</link>
--- a/xml/versions.xml	Wed Jul 05 15:30:48 2017 +0300
+++ b/xml/versions.xml	Tue Jul 11 18:40:50 2017 +0300
@@ -9,6 +9,7 @@

 <download tag="mainline" changes="">

+<item ver="1.13.3" />
 <item ver="1.13.2" />
 <item ver="1.13.1" />
 <item ver="1.13.0" />
@@ -18,6 +19,7 @@

 <download tag="stable" changes="1.12">

+<item ver="1.12.1" />
 <item ver="1.12.0" />
 <item ver="1.11.13" />
 <item ver="1.11.12" />