Nginx DNS解析程序漏洞 (CVE-2021-23017)问题修复

最新推荐文章于 2024-07-24 07:13:38 发布
最新推荐文章于 2024-07-24 07:13:38 发布
阅读量2.2w 收藏 3
点赞数 1
分类专栏: 安全 文章标签: nginx 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42534026/article/details/117354728
版权

目录

漏洞描述

Nginx官方发布安全公告,修复了nginx解析器中的一个DNS解析程序漏洞(CVE-2021-23017),由于ngx_resolver_copy()在处理DNS响应时存在错误 ,当nginx配置文件中使用了“ resolver”指令时,未经身份验证的攻击者能够伪造来自DNS服务器的UDP数据包,构造特制的DNS响应导致1字节内存覆盖,从而造成拒绝服务或任意代码执行。

受影响版本
NGINX 0.6.18 <= NGINX <= NGINX 1.20.0

影响范围
NGINX 0.6.18 <= NGINX <= NGINX 1.20.0

解决方案

修复建议

临时修复建议:
若暂时无法升级nginx至新版本,可安装补丁进行修复,下载地址:
http://nginx.org/download/patch.2021.resolver.txt

通用修复建议:
官方已发布最新安全版本,请及时下载更新,下载地址:
http://nginx.org/en/download.html

虚伪的空想家
关注
专栏目录
服务攻防-中间件安全&CVE 复现&Apache&Tomcat&Nginx
m0_61506558的博客
12-16 653
IIS逐渐被淘汰,本篇文章主要介绍Apache&Tomcat&Nginx中间件出现的漏洞,如图 0-1所示为中间件解析报出的漏洞。(一)Nginx-文件解析&命令执行。
12-4 Nginx漏洞复现与分析
weixin_43263566的博客
11-29 1569
CGl: CGl是一种协议,用于定义Nginx或其他Web Server传递的数据格式。CGl是一个独立的程序,与Web Server无关,可以用任何语言编写CGl程序,比如C、Perl、Python等。Fastcgi: Fastcgi:是一种协议,前身是CGI,可以简单理解为是优化版的CGI,具有更高的稳定性和性能。PHP-CGI: 只是一个PHP的解释器,本身只能解析请求并返回结果,不会做进程管理。
CVE-2021-23017nginx DNS解析漏洞PoC公开,数据结构与算法面试题
2301_76379269的博客
04-17 1160
在处理DNS响应时,ngx_resolver_copy()中的一个off-by-one错误将允许网络攻击者在堆分配的缓冲区中写入超出边界的点字符(‘.’, 0x2E)。配置解析程序原语时,响应nginx服务器DNS请求的DNS响应可能会触发该漏洞。精心构造的数据包可以通过使用0x2E覆盖下一个堆块元数据的最低有效字节,此时,能够向nginx服务器提供DNS响应的网络攻击者可以实现拒绝服务攻击或远程代码执行攻击。
Nginx 出现 DNS 解析问题,如何排查?
最新发布
2401_86074221的博客
07-24 1147
如果 Nginx 在进行 DNS 解析时花费了过长的时间,或者根本无法解析出正确的 IP 地址,用户在访问网站时就会感觉到明显的延迟,甚至出现超时错误。如果由于 DNS 解析问题导致 Nginx 无法正确获取后端服务器的 IP 地址,可能会出现负载不均衡的情况,某些服务器负载过高,而某些服务器却闲置。NginxDNS 解析问题可能会给我们的网络服务带来严重的影响,但只要我们掌握了排查方法和预防措施,就能够在问题出现时从容应对,保障服务的稳定运行。Nginx 的日志是排查问题的重要线索。
fastdfs--nginx安全漏洞(CVE-2021-23017)修复
李振伟的博客
08-01 4566
fastdfs--nginx安全漏洞 CVE-2021-23017
nginx安全漏洞(CVE-2021-23017)修复
热门推荐
皮皮虾的博客
07-26 5万+
nginx安全漏洞(CVE-2021-23017) 详细描述 Nginx是美国Nginx公司的一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。 nginx存在安全漏洞,该漏洞源于一个离一错误在该漏洞允许远程攻击者可利用该漏洞在目标系统上执行任意代码。 受影响版本:0.6.18-1.20.0 解决办法 厂商补丁: 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.nginx.com/blog/updating-nginx-dns-reso
【服务器管理】使用Docker部署的项目修复nginx 安全漏洞(CVE-2021-23017)
陈艺荣
05-03 5006
本博客主要记录使用Docker部署的前端项目修复nginx 安全漏洞(CVE-2021-23017)的过程。 漏洞报告 根据网上查阅的资料,该漏洞波及的版本为0.6.18-1.20.0,而官方网站http://nginx.org/en/download.html已经提供了1.20.2的稳定版本,因此,可以考虑升级nginx版本为1.20.2。 升级nginx版本 1、查看生产环境使用的nginx版本 curl -i 127.0.0.1 返回如下: HTTP/1.1 200 OK Server: nginx
nginx 安全漏洞(CVE-2021-23017)
qq_47755376的博客
09-29 6236
nginx 安全漏洞(CVE-2021-23017)
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1214
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
Centos7系统安全漏洞修复方案
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
常见漏洞原理及修复方式
m0_48368237的博客
02-28 1210
漏洞原理及防护 Burte Force(暴力破解) 在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 防御: 1.是否要求用户设置复杂的密码; 2.是否每次认证都使用安全的验证码(想想你买火车票时输的验证码~)或者手机otp; 3.是否对尝试登录的行为进行判断和限制(如:连续5次错误登录,进行账号锁定或IP地址锁定等); 4
针对OpenSSL安全漏洞调整Nginx服务器的方法
09-30
主要介绍了针对OpenSSL漏洞调整Nginx服务器的方法,2014年爆出的SSL安全漏洞震惊了全世界,需要的朋友可以参考下
CVE-2021-26855:CVE-2021-26855的PoC-只是一个检查器-
03-12
CVE-2021-26855 CVE-2021-26855的PoC-只是一个检查器- 用法 python3 CVE - 2021 - 26855. py - u https : // mail . example . com - c example . burpcollaborator . net # Checker for CVE-2021-26855: Exchange Server SSRF Vulnerability # Coded by Abdullah AlZahrani https://Github.com/0xAbdullah [ * ] You set target to https : // mail . example . com [ #] This site is vulnerable to CVE-2021-26855 Check your collabrato
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1714
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
nginx 安全漏洞 (CVE-2021-23017),网络安全高级面试
2401_84412680的博客
04-17 1502
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
nginx平滑升级解决 nginx 安全漏洞(CVE-2021-23017)和NGINX 环境问题漏洞(CVE-2019-20372)
weixin_44460932的博客
06-14 1万+
关于漏洞扫描nginx安全漏洞修复。 服务器漏洞扫描中扫出了nginx安全漏洞nginx 安全漏洞(CVE-2021-23017)和NGINX 环境问题漏洞(CVE-2019-20372),受影响版本为0.6.18-1.20.0;给出解决办法为升级补丁修复,由于漏洞较多考虑平滑升级。 官方下载渠道下载1.20.0以上版本的linux。下载地址: http://nginx.org/en/download.html 我使用的服务器是linux系统,推荐下载官网Stable version的1.22.0版
CVE-2021-23017nginx DNS解析漏洞PoC公开
weixin_43977912的博客
07-04 9869
漏洞评级 高危漏洞 确认受影响版本 0.6.18 - 1.20.0 确认修复版本 1.21.0、1.20.1 厂商 F5, Inc 厂商官网 https://nginx.org/ 厂商参考资料 https://mailman.nginx.org/pipermail/nginx-announce/2021/000300.html 漏洞CVE CVE-2021-23017 CWE 193 CVSS评分 8.1 漏洞概述及影响 在处理DNS响应时,ngx_resolver_copy()中的一个off-by-on.
nginx 安全漏洞 (CVE-2021-23017)
百花群争艳
01-22 1769
nginx 安全漏洞 (CVE-2021-23017),此漏洞受影响版本:0.6.18-1.20.0。linux安装了nginx-1.16.1.tar.gz 和pcre-8.35.tar.gz。升级nginx到版本nginx-1.24.0.tar.gz。kill -9 加进程ID。升级nginx版本。
Docker nginx安全漏洞(CVE-2021-23017)版本升级到1.20.1
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-30 5451
一、背景 安全部门漏扫发现,某业务主机当前版本的nginx存在nginx 安全漏洞(CVE-2021-23017)风险,需要升级到最新版本的nginx,而本环境业务泡在Docker vm上,因此需要对原生的nginx版本升级和docker中的nginx版本都进行升级; 下面让我们来一起看下nginx升级到1.20.1稳定版的过程。 二、升级过程 2.1、升级前检查 1)备份旧版nginx文件 编译后的二进制文件:mv …/nginx-1.13.2/sbin/nginx nginx_old //新nginx
nginx安全漏洞(CVE-2021-23017)如何修复
04-19
对于这个问题,我可以为您提供以下的修复措施: 1.升级Nginx版本:在新版本中,开发团队已经修复了该漏洞。您可以前往官方网站下载最新的Nginx版本进行安装。 2.设置防火墙规则:通过设置防火墙规则,可以限制来自外部网络的请求。您可以设置Nginx只允许特定IP地址或者IP地址段的请求。 3.禁用不必要的模块:Nginx默认启用了很多模块,但是不是所有的模块都是必要的。您可以禁用不必要的模块,以减少安全风险。 需要注意的是,修复安全漏洞需要谨慎,建议您在实施修复措施之前,先备份好当前的配置文件和数据,以防出现意外情况。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚伪的空想家

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值