ក្រុមការងារសុវត្ថិភាពរបស់ក្រុមហ៊ុន Nginx បានចេញផ្សាយនូវរបាយការណ៍មួយពាក់ព័ន្ធទៅនឹងចន្លោះប្រហោងដ៏គ្រោះថ្នាក់ដែលមានលេខកូដ CVE-2021-23017 ដែលអនុញ្ញាតអោយអ្នកវាយប្រហារអាចធ្វើការគ្រប់គ្រងទៅលើប្រព័ន្ធ system បាន។
ចន្លោះប្រហោងនេះបានធ្វើអោយមានភាព error ដែលត្រូវគេស្គាល់ថា off-by-one នៅក្នុង ngx_resolevr_copy () function ដែលស្ថិតនៅក្នុងដំណើរការ DNS response នោះ។ អ្នកវាយប្រហារអាចចូលទៅតាម error នេះដើម្បីដាក់កូដមេរោគ។ គួរបញ្ជាក់ផងដែរថា ចន្លោះប្រហោងនេះស្ថិតនៅក្នុង Nginx Open Source, Nginx Plus និង Nginx Ingress Controller ។
វាក៏មានចន្លោះប្រហោង 2 ទៀតផងដែរនៅក្នុង Nginx ។ ចន្លោះប្រហោងទី 1 មានលេខកូដ CVE-2021-23019 ដែលអនុញ្ញាតអោយហេគឃ័រអាចគ្រប់គ្រងទៅលើ support package, recover លេខសម្ងាត់របស់ Admin និងគ្រប់គ្រងសិទ្ធិនៃប្រព័ន្ធ system ទាំងមូល។ ចន្លោះប្រហោងទី 2 មានលេខកូដ CVE-2021-23021 ដែលអនុញ្ញាតអោយអ្នកវាយប្រហារចូលទៅកាន់ទិន្នន័យសំខាន់ដូចជា API key បានផងដែរ។ ពេលនេះក្រុមហ៊ុន Nginx ក៏បានជួសជុលទៅលើបញ្ហានេះហើយ សូមធ្វើការ Patch ឥឡូវនេះ!
