一�、�、配景介绍
5月27日,市委网信办手艺支持单位监测监测到Nginx 宣布清静通告,修复了nginx 剖析器中的一个DNS 剖析程序误差(CVE-2021-23017)�。
1.1 误差形貌
由于ngx_resolver_copy()处理DNS 响应时保存过失,当nginx 设置文件中使用了“ resolver”指令时,未经身份验证的攻击者能够伪造来自DNS 服务器的UDP 数据包,结构特制的DNS 响应导致1 字节内存笼罩,从而造成拒绝服务或恣意代码执行�。
1.2 误差编号
CVE-2021-23017
1.3 误差品级
高危
二�、�、修复建议
2.1 受影响版本
NGINX 0.6.18 - 1.20.0
2.2 修复建议
(1)现在官方已在最新版本中修复了该误差,请受影响的用户尽快升级版本举行防护,官方下载链接�::
http://nginx.org/en/download.html
(2)若相关用户暂时无法升级nginx 至新版本,也可装置补丁举行修复�::
http://nginx.org/download/patch.2021.resolver.txt
