漏洞描述
Nginx官方发布安全公告,修复了nginx解析器中的一个DNS解析程序漏洞(CVE-2021-23017),由于ngx_resolver_copy()在处理DNS响应时存在错误 ,当nginx配置文件中使用了“ resolver”指令时,未经身份验证的攻击者能够伪造来自DNS服务器的UDP数据包,构造特制的DNS响应导致1字节内存覆盖,从而造成拒绝服务或任意代码执行。
受影响版本
NGINX 0.6.18 <= NGINX <= NGINX 1.20.0
影响范围
NGINX 0.6.18 <= NGINX <= NGINX 1.20.0
解决方案
修复建议
临时修复建议:
若暂时无法升级nginx至新版本,可安装补丁进行修复,下载地址:
http://nginx.org/download/patch.2021.resolver.txt
通用修复建议:
官方已发布最新安全版本,请及时下载更新,下载地址:
http://nginx.org/en/download.html