登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

Nginx DNS解析程序漏洞安全通告(CVE-2021-23017)

【发布时间:2021-12-30】

https://bkimg.cdn.bcebos.com/pic/e1fe9925bc315c6097e0b0d787b1cb1349547795?x-bce-process=image/watermark,image_d2F0ZXIvYmFpa2U4MA==,g_7,xp_5,yp_5/format,f_auto

威胁预警团队

2021/05/27


1. 漏洞综述

1.1 漏洞背景

Nginx("engine x")是一款是由俄罗斯的程序设计师Igor Sysoev所开发高性能的 Web和 反向代理 服务器,也是一个 IMAP/POP3/SMTP 代理服务器。在高连接并发的情况下,Nginx是Apache服务器不错的替代品。近日,新华三攻防实验室威胁预警团队监测到Nginx官方发布了安全公告,修复了存在的一处DNS解析程序漏洞,漏洞编号CVE-2021-23017,漏洞威胁等级:严重。

1.2 漏洞描述

Nginx 存在DNS解析程序漏洞,该漏洞是由于Nginx的DNS解析模块ngx_resolver_copy()在处理DNS响应时出现一个off-by-one错误。 所有配置解析器语法的(resolver xxxx)Nginx实例都会受到此漏洞影响,远程攻击者可以通过DNS响应(响应来自Nginx的DNS请求)在堆分配的缓冲区中写一个字符来触发此漏洞,使用特制数据覆盖来下一个堆块的最低有效字节,从而实现Ddos拒绝服务,甚至可能实现远程代码执行。

2. 影响范围

0.6.18 < Nginx < 1.20.0

3. 严重等级

严重

4. 处置方法

4.1官方补丁

Nginx官方已在新版本中修复该漏洞,请升级至Nginx 1.20.1及以上版本,下载链接:https://www.nginx.com/blog/updating-nginx-dns-resolver-vulnerability-cve-2021-23017/

4.2 H3C解决方案

1、H3C安全设备防护方案

新华三IPS规则库将在1.0.133版本支持对该漏洞的识别,H3C全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。

2、态势感知产品解决方案

H3C态势感知产品已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。

3、H3C云安全能力中心解决方案

H3C云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。

5. 参考链接

https://www.nginx.com/blog/updating-nginx-dns-resolver-vulnerability-cve-2021-23017/

新华三官网
联系我们