【高危】- NGINX DNS解析程序漏洞(CVE-2021-23017)
■ 漏洞描述
5月26日,Nginx发布安全公告,修复了nginx解析器中的一个DNS解析程序漏洞(CVE-2021-23017),由于ngx_resolver_copy()处理DNS响应时存在错误 ,当nginx配置文件中使用了“ resolver”指令时,未经身份验证的攻击者能够伪造来自DNS服务器的UDP数据包,构造特制的DNS响应导致1字节内存覆盖,从而造成拒绝服务或任意代码执行。
■ 影响范围
NGINX 0.6.18 – 1.20.0
■ 漏洞检测
检查NGINX版本
■ 漏洞修复
目前官方已修复该漏洞,建议受影响的用户尽快升级版本。
下载链接:
http://nginx.org/en/download.html
补丁链接:
http://nginx.org/download/patch.2021.resolver.txt
■ 临时修复
加入WAF防护
■ 漏洞详情
Nginx发布安全公告,修复了nginx解析器中的一个DNS解析程序漏洞(CVE-2021-23017),由于ngx_resolver_copy()处理DNS响应时存在错误 ,当nginx配置文件中使用了“ resolver”指令时,未经身份验证的攻击者能够伪造来自DNS服务器的UDP数据包,构造特制的DNS响应导致1字节内存覆盖,从而造成拒绝服务或任意代码执行。
目前漏洞细节已被披露,腾讯安全专家建议受影响的用户尽快升级,避免导致黑客攻击利用
5月26日,Nginx发布安全公告,修复了nginx解析器中的一个DNS解析程序漏洞(CVE-2021-23017),由于ngx_resolver_copy()处理DNS响应时存在错误 ,当nginx配置文件中使用了“ resolver”指令时,未经身份验证的攻击者能够伪造来自DNS服务器的UDP数据包,构造特制的DNS响应导致1字节内存覆盖,从而造成拒绝服务或任意代码执行。
■ 影响范围
NGINX 0.6.18 – 1.20.0
■ 漏洞检测
检查NGINX版本
■ 漏洞修复
目前官方已修复该漏洞,建议受影响的用户尽快升级版本。
下载链接:
http://nginx.org/en/download.html
补丁链接:
http://nginx.org/download/patch.2021.resolver.txt
■ 临时修复
加入WAF防护
■ 漏洞详情
Nginx发布安全公告,修复了nginx解析器中的一个DNS解析程序漏洞(CVE-2021-23017),由于ngx_resolver_copy()处理DNS响应时存在错误 ,当nginx配置文件中使用了“ resolver”指令时,未经身份验证的攻击者能够伪造来自DNS服务器的UDP数据包,构造特制的DNS响应导致1字节内存覆盖,从而造成拒绝服务或任意代码执行。
目前漏洞细节已被披露,腾讯安全专家建议受影响的用户尽快升级,避免导致黑客攻击利用