Nginx DNS解析漏洞 (CVE-2021-23017) 预警

  • A+
所属分类:安全漏洞


一、基本情况

近日,Nginx发布安全通告,修复了Nginx解析器中一处DNS解析漏洞,漏洞CVE编号:CVE-2021-23017。攻击者可利用该漏洞进行拒绝服务攻击,甚至远程代码执行。目前漏洞细节已被披露,建议受影响用户及时升级新版本或更新漏洞补丁进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

二、漏洞描述

Nginx是美国Nginx公司的一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。

该漏洞存在于Nginx的DNS解析模块ngx_resolver_copy(),是由于Nginx中缺乏DNS欺骗缓解措施,并且在检查DNS事务ID之前调用了易受攻击的功能。因此攻击者能够伪造来自DNS服务器的UDP数据包,构造特制的DNS响应导致1字节内存覆盖,从而造成拒绝服务或远程代码执行。


三、影响范围

  • Nginx 0.6.18 – 1.20.0

四、安全建议

1.建议将Nginx升级至1.21.0或1.20.1版本。

2.可参考官方漏洞补丁,具体操作请参考链接:http://nginx.org/download/patch.2021.resolver.txt

五、参考链接

  • http://mailman.nginx.org/pipermail/nginx-announce/2021/000300.html

  • https://www.nginx.com/blog/updating-nginx-dns-resolver-vulnerability-cve-2021-23017/

  • https://www.freebuf.com/vuls/274503.html


支持单位:

中国信息通信研究院




文章来源:网络安全威胁和漏洞信息共享平台



点击下方卡片关注我们,
带你一起读懂网络安全 ↓


本文始发于微信公众号(互联网安全内参):Nginx DNS解析漏洞 (CVE-2021-23017) 预警

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: