Support technique
Documentation
Connexion
Nous contacter
Le correctif de nginx CVE-2021-23017 pour les systèmes EOL est en cours de déploiement.
27 mai 2021 - L'équipe de relations publiques de TuxCare
Nginx est un élément essentiel de l'infrastructure de nombreuses organisations. Il est utilisé, entre autres, comme serveur Web, équilibreur de charge, serveur proxy (inverse), redirecteur de port et plateforme de streaming vidéo. Autonome ou faisant partie d'une pile logicielle, il prend en charge une part non négligeable de l'infrastructure Internet globale sur laquelle nous comptons.
Ainsi, lorsqu'une nouvelle CVE affecte nginx, l'équipe de TuxCare y prête une attention particulière.
CVE-2021-23017 est une faille ponctuelle trouvée dans le code de nginx qui affecte toutes les versions EOL que nous couvrons avec notre service de support étendu du cycle de vie. Des correctifs sont déjà en cours de déploiement pour tous les systèmes.
En examinant de plus près la vulnérabilité, on constate qu'elle affecte la partie du code responsable de la résolution DNS dans nginx. Un serveur DNS malveillant peut envoyer un paquet spécialement conçu en réponse à une requête DNS de nginx, ce qui entraîne l'écriture d'un caractère "." hors limites dans un tampon à l'intérieur de nginx. Pour un attaquant correctement motivé, il est trivial d'exploiter les failles hors limites dans des scénarios d'exécution de code (à distance).
De plus, nginx ne dispose d'aucune mesure d'atténuation de l'usurpation d'identité lors des requêtes DNS. Une machine pourrait être placée entre le serveur DNS sécurisé non malveillant et injecter du trafic contenant des réponses DNS usurpées dans nginx par le biais d'une attaque de type "man-in-the-middle". Cela déclencherait la vulnérabilité dans ce nouveau CVE, de sorte que ce problème peut avoir un impact et une portée graves.
Bien qu'aucun outil malveillant connu ne soit actuellement disponible avec ce code d'exploitation, un code de preuve de concept a été développé pour démontrer l'exploitation de cette vulnérabilité.
L'utilisation de systèmes Linux en fin de vie non pris en charge comporte des risques. Apprenez à les minimiser et à protéger vos systèmes des vulnérabilités de Linux ici.
Cette CVE a été divulguée le 26 mai 2021, et TuxCare a commencé à déployer des correctifs pour cette faille le même jour. Si vous êtes abonné au service TuxCare Extended Lifecycle Support, vous pouvez être assuré que vos systèmes ne sont pas vulnérables à cette faille. Si vous souhaitez souscrire à ce service, contactez nos ingénieurs ici pour plus d'informations.
