Nginx DNS解析程序漏洞安全风险通告
发布日期:2021-5-27
漏洞描述
5月27日,监测到Nginx官方发布安全公告,修复了nginx解析器中的一个DNS解析程序漏洞(CVE-2021-23017),由于ngx_resolver_copy()在处理DNS响应时存在错误 ,当nginx配置文件中使用了“ resolver”指令时,未经身份验证的攻击者能够伪造来自DNS服务器的UDP数据包,构造特制的DNS响应导致1字节内存覆盖,从而造成拒绝服务或任意代码执行。请相关用户采取措施进行防护。
漏洞编号
CVE-2021-23017
漏洞危害
攻击者利用此漏洞,可实现拒绝服务或任意代码执行。
漏洞等级
高危
受影响版本
NGINX 0.6.18 – 1.20.0
不受影响的版本
NGINX Open Source 1.20.1 (stable)
NGINX Open Source 1.21.0 (mainline)
NGINX Plus R23 P1
NGINX Plus R24 P1
修复方案
- 官方升级
目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:http://nginx.org/en/download.html
- 其他防护措施
若相关用户暂时无法升级nginx至新版本,也可安装补丁进行修复:
http://nginx.org/download/patch.2021.resolver.txt
参考链接
1、http://mailman.nginx.org/pipermail/nginx-announce/2021/000300.html