浏览 9.1k
尊敬的各位Nginx用户:
感谢您对Nginx长期以来的信任、厚爱和鼓励!F5公司于5月25日发布了影响NGINX DNS解析的低风险漏洞CVE-2021-23017,受影响版本为NGINX开源和NGINX Plus版本。 通过更新或升级NGINX的指定版本均可以得到解决。
以下是F5对此事件的说明通报,附官方链接。如果您有任何问题,欢迎您随时与我们联系,我们可以安排与您和您的团队及时的沟通会议,一起评估您所面临的风险以及后续的缓解计划,并通过这些努力最终为您解决CVE所带来的问题和困扰。
CVE-2021-23017风险描述:
针对CVE-2021-23017漏洞,如果攻击者伪造来自指定的DNS服务器发出的UDP包,NGINX 解析器(resolver)可能引起一个字节的内存重写,从而可能导致NGINX worker进程崩溃或其他未指定的影响。
CVE-2021-23017影响范围:NGINX worker进程停止响应,从而拒绝某些用户的访问。仅当已配置一个或多个解析程序指令时,才存在此漏洞。默认情况下,NGINX不会配置任何解析器。
远程攻击者可能导致
如果客户上线配置中不包含resolver相关的配置,不会受到此风险的影响,可以暂时对本次的CVE低风险漏洞不做考虑,也可以通过升级到新的版本解决这个问题。
·
·
·
·
·
·
此致,
商祺
按点赞数排序
按时间排序