关于NGINX CVE-2021-23017的说明



版权声明:本文为作者原创文章,遵循
CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
尊敬的各位Nginx用户:
感谢您对Nginx长期以来的信任、厚爱和鼓励!F5公司于5月25日发布了影响NGINX DNS解析的低风险漏洞CVE-2021-23017,受影响版本为NGINX开源和NGINX Plus版本。 通过更新或升级NGINX的指定版本均可以得到解决。
以下是F5对此事件的说明通报,附官方链接。如果您有任何问题,欢迎您随时与我们联系,我们可以安排与您和您的团队及时的沟通会议,一起评估您所面临的风险以及后续的缓解计划,并通过这些努力最终为您解决CVE所带来的问题和困扰。
CVE-2021-23017风险描述:
针对CVE-2021-23017漏洞,如果攻击者伪造来自指定的DNS服务器发出的UDP包,NGINX 解析器(resolver)可能引起一个字节的内存重写,从而可能导致NGINX worker进程崩溃或其他未指定的影响。
CVE-2021-23017影响范围:NGINX worker进程停止响应,从而拒绝某些用户的访问。仅当已配置一个或多个解析程序指令时,才存在此漏洞。默认情况下,NGINX不会配置任何解析器。
远程攻击者可能导致
如果客户上线配置中不包含resolver相关的配置,不会受到此风险的影响,可以暂时对本次的CVE低风险漏洞不做考虑,也可以通过升级到新的版本解决这个问题。
对于NGINX+用户,受影响版本为:R13 - R24 ,升级到如下版本可修复此CVE漏洞:
·
·
对于NGINX开源用户,受影响版本为:0.6.18 - 1.20.0 ,升级到如下版本可修复此CVE漏洞:
·
·
对于NGINX Plus Ingress Controller用户,受影响版本为:1.0.0 - 1.11.1 ,升级到如下版本可修复次CVE漏洞:
·
对于NGINX OSS Ingress Controller用户,受影响版本为:1.0.0 - 1.11.1 ,升级到如下版本可修复次CVE漏洞:
·
- https://support.f5.com/csp/article/K12331123#plus
- https://www.nginx.com/blog/updating-nginx-dns-resolver-vulnerability-cve-2021-23017/
此致,
商祺
F5中国
2021年5月31日