关于NGINX CVE-2021-23017的说明
发表于2021-05-31 12:27
浏览 17.9k
尊敬的各位Nginx用户:
感谢您对Nginx长期以来的信任、厚爱和鼓励!F5公司于5月25日发布了影响NGINX DNS解析的低风险漏洞CVE-2021-23017,受影响版本为NGINX开源和NGINX Plus版本。 通过更新或升级NGINX的指定版本均可以得到解决。
以下是F5对此事件的说明通报,附官方链接。如果您有任何问题,欢迎您随时与我们联系,我们可以安排与您和您的团队及时的沟通会议,一起评估您所面临的风险以及后续的缓解计划,并通过这些努力最终为您解决CVE所带来的问题和困扰。
CVE-2021-23017风险描述:
针对CVE-2021-23017漏洞,如果攻击者伪造来自指定的DNS服务器发出的UDP包,NGINX 解析器(resolver)可能引起一个字节的内存重写,从而可能导致NGINX worker进程崩溃或其他未指定的影响。
CVE-2021-23017影响范围:NGINX worker进程停止响应,从而拒绝某些用户的访问。仅当已配置一个或多个解析程序指令时,才存在此漏洞。默认情况下,NGINX不会配置任何解析器。
远程攻击者可能导致
如果客户上线配置中不包含resolver相关的配置,不会受到此风险的影响,可以暂时对本次的CVE低风险漏洞不做考虑,也可以通过升级到新的版本解决这个问题。
对于NGINX+用户,受影响版本为:R13 - R24 ,升级到如下版本可修复此CVE漏洞:
·
·
对于NGINX开源用户,受影响版本为:0.6.18 - 1.20.0 ,升级到如下版本可修复此CVE漏洞:
·
·
对于NGINX Plus Ingress Controller用户,受影响版本为:1.0.0 - 1.11.1 ,升级到如下版本可修复次CVE漏洞:
·
对于NGINX OSS Ingress Controller用户,受影响版本为:1.0.0 - 1.11.1 ,升级到如下版本可修复次CVE漏洞:
·
- https://support.f5.com/csp/article/K12331123#plus
- https://www.nginx.com/blog/updating-nginx-dns-resolver-vulnerability-cve-2021-23017/
此致,
商祺
F5中国
2021年5月31日
已修改于2023-03-09 09:27
写下您的评论
全部评论(0)
按点赞数排序
按时间排序
相关文章
转载:https://segmentfault.com/a/1190000013075129?utm_source=sf-related 原文作者:Yujiaao前言在与第三方系统进行接口开发时,需要不断的改进和测试,以常见的微信登录支付和Alipay支付和登录为例.相对来讲Alipay做起来容易一些,一是接口SDK封装的简单一些,对老接口也相对友好,文档的岐义少.微信就不那么容易了.出于安全的考虑,微信的商户ID授权回调和支付回调只允许后台配置的一个地址,看上去可以加,但在我有限的经验里,加了也不管用.有时间吐槽,不如花时间想其他办法搞定.借助于万能的nginx反向代理功能,我们就把测试的和正式环境的配置通一个域名地址,但不同参数的方式搞定了.使用场景- 微信的测试假设你和一个正式服务器,如bixuebihui.com,还有一个测试用的,dev.bixuebihui.com,正式的微信回调路径是 https://bixuebihui.com/pay,测试的路径是 https://de
点赞 6
浏览 4.2kNginx监听端口基本语法:listenaddress:port默认:listen80;作用:listen参数决定Nginx服务器如何监听端口。在listen后可以加IP地址,端口和主机名,非常灵活例如:listen127.0.0.1:8000;listen127.0.0.1;#默认80端口listen8000;#listen*:8000;#listenlocahost:8000这样就可以配置多个server,监听不同的端口扩展语法:listenaddress:port[default(deprecatedin0.8.21)|default_server|[backlog=num|rcvbuf=size|sndbuf=size|accept_filter=filter|defered|bind|ipv6only=[on|off]|ssl]]参数意义default将所在得server设置为整个web服务的默认server块。如果没有这个设置,那么会以在nginx.conf中找到的第一个server作为默认server。(default_server:同上
点赞 2浏览 7.3k原文作者:AmirRawdatofF5原文链接:使用NGINX在Kubernetes中实现多租户和命名空间隔离转载来源:NGINX官方网站
随着企业规模的不断扩大,Kubernetes中的开发和运营工作流程也变得愈加复杂。与每个团队都拥有自己的集群相比,各个团队之间共享Kubernetes集群和集群中资源的做法通常更经济高效、更安全。但是,如果团队无法以安全可靠的方式共享资源或者配置遭黑客利用,则可能会对部署的应用系统造成严重损害。
网络和资源级别的多租户实践和命名空间隔离有助于团队安全地共享Kubernetes资源。您还可以按照单租户独占的方式隔离应用,从而显著缩小攻击的影响范围。这种方法有助于提高弹性,因为只有特定团队拥有的部分应用可能会受到损害,而提供其他功能的系统则完好无损。
NGINXIngressController支持多种多租户模式,但最常见的主要是下列的两种模式:
基础架构服务提供商模式通常指使用隔离的NGINXIngressController,通过物理基础架构隔离来实现多租户;企业模式指使用共享的N
点赞 1浏览 4k
保持联系
微信公众号
加入微信群
开放 · 包容 · 沟通 · 贡献
Copyright © F5, Inc. All Rights Reserved. F5 版权所有
