ГлавнаяБаза уязвимостей БДУ → BDU:2021-02749
7.3высокая

BDU:2021-02749 (CVE-2021-23017)

Уязвимость функции ngx_resolver_copy() сервера nginx, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2021-06-01
Описание

Уязвимость функции ngx_resolver_copy() сервера nginx связана с ошибкой единичного смещения в результате записи символа точки ('.', 0x2E) за пределы буфера кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании путем отправки специально созданных UDP-пакетов

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Oracle Communications Operations Monitor (3.4)Red Hat Enterprise Linux (8)Ubuntu (14.04 ESM)Debian GNU/Linux (10)РЕД ОС (7.2 Муром)Red Hat Software CollectionsUbuntu (20.04 LTS)Ubuntu (20.10)Ansible Tower (3)Fedora (33)Oracle Communications Session Border Controller (8.4)Oracle Enterprise Session Border Controller (8.4)Ubuntu (21.04)Oracle Communications Operations Monitor (4.2)Oracle Communications Operations Monitor (4.3)Fedora (34)Ubuntu (16.04 ESM)nginx (от 0.6.18 до 1.20.1)Альт 8 СПOracle Enterprise Session Border Controller (9.0)Oracle Communications Operations Monitor (4.4)Blockchain Platform (до 21.1.2)ОСОН ОСнова Оnyx (до 2.1)Enterprise Communications Broker (3.3)ОС ОН «Стрелец» (до 16.01.2023)Oracle Communications Session Border Controller (9.0)GoldenGate (до 21.4.0.0.0)Oracle Enterprise Telephony Fraud Monitor (3.4)
Способ устранения

Использование рекомендаций:
Для nginx:
http://nginx.org/en/security_advisories.html

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-23017

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4967-1
https://ubuntu.com/security/notices/USN-4967-2

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-23017



Для ОСОН Основа:

Обновление программного обеспечения nginx до версии 1.14.2-2+deb10u4



Для ОС ОН «Стрелец»:

Обновление программного обеспечения nginx до версии 1.10.3-1+deb9u7

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GNKOP2JR5L7KCIZTJRZDCUPJTUONMC5I/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7SFVYHC7OXTEO4SMBWXDVK6E5IMEYMEE/

Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpuoct2021.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpuapr2022.html

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл7.3 — высокая опасность
Источники и патчи
http://nginx.org/en/security_advisories.htmlhttps://redos.red-soft.ru/updatesec/https://www.cybersecurity-help.cz/vdb/SB2021052543https://www.opennet.ru/opennews/art.shtml?num=55208https://access.redhat.com/security/cve/cve-2021-23017https://ubuntu.com/security/notices/USN-4967-1https://ubuntu.com/security/notices/USN-4967-2https://security-tracker.debian.org/tracker/CVE-2021-23017
Проверьте безопасность своего сайта и почты → Полная проверка домена