99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

Nginx DNS解析程序漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2021-5-27

?

漏洞描述

5月27日，監(jiān)測(cè)到Nginx官方發(fā)布安全公告，修復(fù)了nginx解析器中的一個(gè)DNS解析程序漏洞（CVE-2021-23017），由于ngx_resolver_copy()在處理DNS響應(yīng)時(shí)存在錯(cuò)誤 ，當(dāng)nginx配置文件中使用了“ resolver”指令時(shí)，未經(jīng)身份驗(yàn)證的攻擊者能夠偽造來(lái)自DNS服務(wù)器的UDP數(shù)據(jù)包，構(gòu)造特制的DNS響應(yīng)導(dǎo)致1字節(jié)內(nèi)存覆蓋，從而造成拒絕服務(wù)或任意代碼執(zhí)行。請(qǐng)相關(guān)用戶(hù)采取措施進(jìn)行防護(hù)。

漏洞編號(hào)

CVE-2021-23017

漏洞危害

攻擊者利用此漏洞，可實(shí)現(xiàn)拒絕服務(wù)或任意代碼執(zhí)行。

漏洞等級(jí)

高危
受影響版本

NGINX 0.6.18 – 1.20.0

不受影響的版本

NGINX Open Source 1.20.1 (stable)

NGINX Open Source 1.21.0 (mainline)

NGINX Plus R23 P1

NGINX Plus R24 P1

修復(fù)方案

1. 官方升級(jí)

目前官方已在最新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶(hù)盡快升級(jí)版本進(jìn)行防護(hù)，官方下載鏈接：http://nginx.org/en/download.html

2. 其他防護(hù)措施

若相關(guān)用戶(hù)暫時(shí)無(wú)法升級(jí)nginx至新版本，也可安裝補(bǔ)丁進(jìn)行修復(fù)：

http://nginx.org/download/patch.2021.resolver.txt

參考鏈接

1、http://mailman.nginx.org/pipermail/nginx-announce/2021/000300.html