关于NGINX CVE-2021-23017的说明
963 次浏览
发表于 2021-05-31 12:27

尊敬的各位Nginx用户:

 

感谢您对Nginx长期以来的信任、厚爱和鼓励!F5公司于525日发布了影响NGINX DNS解析的低风险漏洞CVE-2021-23017,受影响版本为NGINX开源和NGINX Plus版本。 通过更新或升级NGINX的指定版本均可以得到解决。 


以下是F5对此事件的说明通报,附官方链接。如果您有任何问题,欢迎您随时与我们联系,我们可以安排与您和您的团队及时的沟通会议,一起评估您所面临的风险以及后续的缓解计划,并通过这些努力最终为您解决CVE所带来的问题和困扰。


CVE-2021-23017风险描述:

针对CVE-2021-23017漏洞,如果攻击者伪造来自指定的DNS服务器发出的UDP包,NGINX 解析器(resolver)可能引起一个字节的内存重写,从而可能导致NGINX worker进程崩溃或其他未指定的影响。

CVE-2021-23017
影响范围:

远程攻击者可能导致
NGINX worker进程停止响应,从而拒绝某些用户的访问。仅当已配置一个或多个解析程序指令时,才存在此漏洞。默认情况下,NGINX不会配置任何解析器。

如果客户上线配置中不包含resolver相关的配置,不会受到此风险的影响,可以暂时对本次的CVE低风险漏洞不做考虑,也可以通过升级到新的版本解决这个问题。

 

受影响版本以及升级建议:

  1. 对于NGINX+用户,受影响版本为:R13 - R24,升级到如下版本可修复此CVE漏洞:

·       NGINX Plus R23 P1

·       NGINX Plus R24 P1

  1. 对于NGINX开源用户,受影响版本为:0.6.18 - 1.20.0,升级到如下版本可修复此CVE漏洞:

·       NGINX 1.21.0

·       NGINX 1.20.1

  1. 对于NGINX Plus Ingress Controller用户,受影响版本为:1.0.0 - 1.11.1,升级到如下版本可修复次CVE漏洞:

·       NGINX Plus Ingress Controller 1.11.2

  1. 对于NGINX OSS Ingress Controller用户,受影响版本为:1.0.0 - 1.11.1,升级到如下版本可修复次CVE漏洞:

·       NGINX OSS Ingress Controller 1.11.21.11.3


官方参考链接:

如下两个链接包含CVE的详细描述及升级步骤。

  1. https://support.f5.com/csp/article/K12331123#plus
  2. https://www.nginx.com/blog/updating-nginx-dns-resolver-vulnerability-cve-2021-23017/

此致,

         商祺

 

 

F5中
2021531



发表评论
发表者

NGINX官方账号

NGINX官方账号

  • 39

    文章

  • 2

    关注

  • 106

    粉丝

活动推荐
版权所有©F5 Networks,Inc.保留所有权利。京ICP备16013763号-5