首页  普法课堂

关于Nginx DNS 解析程序漏洞风险提示

发布时间:2021-05-28 00:00:00 作者:admin

一、背景介绍

527日,市委网信办技术支撑单位监测监测到Nginx 发布安全公告,修复了nginx 解析器中的一个DNS 解析程序漏洞(CVE-2021-23017)。

1.1 漏洞描述

由于ngx_resolver_copy()处理DNS 响应时存在错误,当nginx 配置文件中使用了“ resolver”指令时,未经身份验证的攻击者能够伪造来自DNS 服务器的UDP 数据包,构造特制的DNS 响应导致1 字节内存覆盖,从而造成拒绝服务或任意代码执行。

1.2 漏洞编号

CVE-2021-23017

1.3 漏洞等级

高危

二、修复建议

2.1 受影响版本

NGINX 0.6.18 - 1.20.0

2.2 修复建议

  (1)目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:

   http://nginx.org/en/download.html

  (2)若相关用户暂时无法升级nginx 至新版本,也可安装补丁进行修复:

   http://nginx.org/download/patch.2021.resolver.txt