nginx DNS解析器远程缓冲区错误漏洞

漏洞信息详情

nginx DNS解析器远程缓冲区错误漏洞

• CNNVD编号：CNNVD-201111-315
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2011-4315
  
• 漏洞类型：
  
  
  缓冲区错误
  
• 发布时间：
  
  2011-11-22
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2020-11-17
  
• 厂        商：
  
  nginx
• 漏洞来源：

nginx是由俄罗斯的程序设计师Igor Sysoev所开发的一款轻量级Web服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器。

nginx1 1.0.10之前版本中存在漏洞，恶意人员可利用该漏洞潜在的操控易受攻击的系统。

该漏洞源于在处理DNS响应时的\”ngx_resolver_copy()\”函数(ngx_resolver.c)中的边境值错误，攻击者可利用该漏洞借助特制的DNS响应导致基于堆的缓冲区溢出，成功的利用该漏洞后可在自定义DNS解析程序启用时（默认禁止）执行任意代码。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://nginx.org/en/download.html

来源:BID

链接:https://www.securityfocus.com/bid/50710

来源:SECUNIA

链接:http://secunia.com/advisories/48577

来源:MLIST

链接:http://openwall.com/lists/oss-security/2011/11/17/10

来源:CONFIRM

链接:http://trac.nginx.org/nginx/changeset/4268/nginx

来源:SUSE

链接:http://lists.opensuse.org/opensuse-security-announce/2011-12/msg00005.html

来源:MLIST

链接:http://openwall.com/lists/oss-security/2011/11/17/8

来源:SECUNIA

链接:http://secunia.com/advisories/47097

来源:GENTOO

链接:http://security.gentoo.org/glsa/glsa-201203-22.xml

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-December/070569.html

来源:CONFIRM

链接:http://www.nginx.org/en/CHANGES-1.0