安全公告

当前位置: 首页    安全公告    正文

关于NGINX DNS解析程序漏洞(CVE-2021-23017)的安全公告

时间:2021-06-03 14:29浏览:

一、情况分析:

Nginx是异步框架的网页服务器,也可以用作反向代理、负载平衡器和HTTP缓存。近期发现Nginx解析器中的一个DNS解析程序漏洞(CVE-2021-23017),由于ngx_resolver_copy()处理DNS响应时存在错误 ,当nginx配置文件中使用了“ resolver”指令时,未经身份验证的攻击者能够伪造来自DNS服务器的UDP数据包,构造特制的DNS响应导致1字节内存覆盖,从而造成拒绝服务或任意代码执行。

漏洞编号:CVE-2021-23017   漏洞等级:高危

二、影响范围

受影响的版本:

NGINX 0.6.18 – 1.20.0

安全版本:

NGINX Open Source 1.20.1 (stable)

NGINX Open Source 1.21.0 (mainline)

NGINX Plus R23 P1

NGINX Plus R24 P1

三、处置建议

1.官方升级

目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:

官方下载链接:http://nginx.org/en/download.html

2.其他防护措施

若相关用户暂时无法升级nginx至新版本,也可安装补丁进行修复:

http://nginx.org/download/patch.2021.resolver.txt

参考链接:

http://mailman.nginx.org/pipermail/nginx-announce/2021/000300.html

https://www.freebuf.com/vuls/274503.html