尊敬的各位Nginx用户：

感谢您对Nginx长期以来的信任、厚爱和鼓励！F5公司于5月25日发布了影响NGINX DNS解析的低风险漏洞CVE-2021-23017，受影响版本为NGINX开源和NGINX Plus版本。 通过更新或升级NGINX的指定版本均可以得到解决。 

以下是F5对此事件的说明通报，附官方链接。如果您有任何问题，欢迎您随时与我们联系，我们可以安排与您和您的团队及时的沟通会议，一起评估您所面临的风险以及后续的缓解计划，并通过这些努力最终为您解决CVE所带来的问题和困扰。

CVE-2021-23017风险描述：

针对CVE-2021-23017漏洞，如果攻击者伪造来自指定的DNS服务器发出的UDP包，NGINX 解析器（resolver）可能引起一个字节的内存重写，从而可能导致NGINX worker进程崩溃或其他未指定的影响。

CVE-2021-23017影响范围：

远程攻击者可能导致NGINX worker进程停止响应，从而拒绝某些用户的访问。仅当已配置一个或多个解析程序指令时，才存在此漏洞。默认情况下，NGINX不会配置任何解析器。

如果客户上线配置中不包含resolver相关的配置，不会受到此风险的影响，可以暂时对本次的CVE低风险漏洞不做考虑，也可以通过升级到新的版本解决这个问题。

受影响版本以及升级建议：

1. 对于NGINX+用户，受影响版本为：R13 - R24，升级到如下版本可修复此CVE漏洞：

·       NGINX Plus R23 P1

·       NGINX Plus R24 P1

2. 对于NGINX开源用户，受影响版本为：0.6.18 - 1.20.0，升级到如下版本可修复此CVE漏洞：

·       NGINX 1.21.0

·       NGINX 1.20.1

3. 对于NGINX Plus Ingress Controller用户，受影响版本为：1.0.0 - 1.11.1，升级到如下版本可修复次CVE漏洞：

·       NGINX Plus Ingress Controller 1.11.2

4. 对于NGINX OSS Ingress Controller用户，受影响版本为：1.0.0 - 1.11.1，升级到如下版本可修复次CVE漏洞：

·       NGINX OSS Ingress Controller 1.11.21.11.3

官方参考链接：

如下两个链接包含CVE的详细描述及升级步骤。

1. https://support.f5.com/csp/article/K12331123#plus
2. https://www.nginx.com/blog/updating-nginx-dns-resolver-vulnerability-cve-2021-23017/

此致，

         商祺