7*24小时服务热线   021-20685566
it-support@shanghaitech.edu.cn

关于 Nginx DNS 解析程序漏洞风险提示

日期:2021-05-31文章来源:图书信息中心

一、背景介绍 

5 月 27 日,市委网信办技术支撑单位监测监测到 Nginx 发布安全公告,修 复了 nginx 解析器中的一个 DNS 解析程序漏洞(CVE-2021-23017)。 1.1 漏洞描述: 由于 ngx_resolver_copy()处理 DNS 响应时存在错误,当 nginx 配置文件中 使用了“resolver”指令时,未经身份验证的攻击者能够伪造来自 DNS 服务器的 UDP 数据包,构造特制的 DNS 响应导致 1 字节内存覆盖,从而造成拒绝服务或 任意代码执行。 1.2 漏洞编号:CVE-2021-23017 1.3 漏洞等级:高危

二、修复建议

2.1 受影响版本:NGINX 0.6.18 - 1.20.0   

2.2 修复建议:   

(1)目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版 本进行防护,官方下载链接:http://nginx.org/en/download.html   

(2)若相关用户暂时无法升级 nginx 至新版本,用户也可以通过安装如下补丁进行漏洞修复: http://nginx.org/download/patch.2021.resolver.txt