大工网安告[2021]016号

一、情况分析：

Nginx是异步框架的网页服务器，也可以用作反向代理、负载平衡器和HTTP缓存。近期发现Nginx解析器中的一个DNS解析程序漏洞（CVE-2021-23017），由于ngx_resolver_copy()处理DNS响应时存在错误 ，当nginx配置文件中使用了“ resolver”指令时，未经身份验证的攻击者能够伪造来自DNS服务器的UDP数据包，构造特制的DNS响应导致1字节内存覆盖，从而造成拒绝服务或任意代码执行。

漏洞编号：CVE-2021-23017   漏洞等级：高危

二、影响范围

受影响的版本：

NGINX 0.6.18 – 1.20.0

安全版本：

NGINX Open Source 1.20.1 (stable)

NGINX Open Source 1.21.0 (mainline)

NGINX Plus R23 P1

NGINX Plus R24 P1

三、处置建议

目前官方已修复该漏洞，腾讯安全专家建议受影响的用户尽快升级版本

官方下载链接：

参考链接：