Компания Nginx выпустила исправление для критической уязвимости в своей реализации разрешения DNS. Уязвимость ( CVE-2021-23017 ) в резолвере Nginx позволяет злоумышленнику получить полный контроль над атакуемой системой, и для нее уже существует публично доступный эксплоит.

Проблема затрагивает NGINX Open Source, NGINX Plus и NGINX Ingress Controller. Исправление включено в следующие версии ПО: NGINX Open Source 1.20.1 (стабильная версия), NGINX Open Source 1.21.0 (основная ветвь), NGINX Plus R23 P1 и NGINX Plus R24 P1. Исправленные версии NGINX Open Source и NGINX Plus включены в следующие версии NGINX Ingress Controller: NGINX Ingress Controller 1.11.2 – NGINX Plus R23 P1, NGINX Ingress Controller 1.11.3 – NGINX Open Source 1.21.0 и NGINX Plus R23 P1.

Nginx также исправила уязвимость в реализации шифрования в NGINX Controller NAAS API ( CVE-2021-23020 ), уязвимость раскрытия учетных данных в NGINX Controller ( CVE-2021-23019 ) и уязвимость раскрытия информации ( CVE-2021-23021 ).

Источник: securitylab.ru