组件介绍

Nginx (engine x) 是款轻量级的Web 服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器，在BSD-like 协议下发行。其特点是占有内存少，并发能力强，事实上nginx的并发能力在同类型的网页服务器中表现较好一个高性能的HTTP和反向代理web服务器，同时也提供了IMAP/POP3/SMTP服务。

漏洞描述

2021年5月28号，深信服安全团队监测到一则Nginx组件存在Off-by-One 堆写入漏洞的信息，漏洞编号：CVE-2021-23017，漏洞威胁等级：高危。

该漏洞是由于Nginx在将未压缩的域名放入缓冲区时，并没有将到前面计算出的未压缩的NDS域名大小作为参数，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行如远程代码执行攻击，最终获取服务器最高权限。 

影响范围

Nginx 可以在大多数 Unix、Linux 系统上编译运行，并有 Windows 移植版。Nginx主要在美国和中国使用量最高，在全球约有1亿以上的服务器。Nginx 在中国境内主要分布在中国台湾、中国香港。

目前受影响的Nginx版本：0.6.18 ≤ Nginx ≤ 1.20.0

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://nginx.org/

升级方法:

在官网找到最新的版本进行下载并按照步骤安装即可。