1. 通告信息

近日，安识科技A-Team团队监测发现Nginx官方发布安全公告，披露了Nginx DNS Resolver中的一个任意代码执行漏洞（CVE-2021-23017）。

由于Nginx在处理DNS响应时存在安全问题，当在配置文件中使用 “resolver ”指令时，远程攻击者可以通过伪造来自DNS服务器的UDP数据包，构造DNS响应造成1-byte内存覆盖，从而导致拒绝服务或任意代码执行。

对此，安识科技建议广大用户及时做好软件补丁更新，并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

攻击者伪造来自DNS服务器的UDP数据包，从而导致拒绝服务或任意代码执行。

3. 漏洞危害

攻击者可以利用此漏洞进行拒绝服务或任意代码执行攻击，存在较大危害。

4. 影响版本

NGINXOpenSource 1.20.1 (stable)

NGINX Open Source 1.21.0 (mainline)

NGINX Plus R23 P1

NGINX Plus R24 P1

5. 解决方案

以下版本的NGINX Ingress Controller包括NGINX Open Source和NGINX Plus的修复程序版本：

NGINX Ingress Controller 1.11.2 – NGINX Plus R23 P1

NGINX Ingress Controller 1.11.3 – NGINX Open Source 1.21.0 和NGINX Plus R23 P1

6. 时间轴

【-】2021年5月25日  Nginx 官方发布安全公告

【-】2021年5月28日 安识科技A-Team团队根据官方公告分析

【-】2021年5月28日 安识科技A-Team团队发布安全通告

本文作者：安识科技

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/159976.html