ក្រុមការងារសុវត្ថិភាពរបស់ក្រុមហ៊ុន Nginx បានចេញផ្សាយនូវរបាយការណ៍មួយពាក់ព័ន្ធទៅនឹងចន្លោះប្រហោងដ៏គ្រោះថ្នាក់ដែលមានលេខកូដ CVE-2021-23017 ដែលអនុញ្ញាតអោយអ្នកវាយប្រហារអាចធ្វើការគ្រប់គ្រងទៅលើប្រព័ន្ធ system បាន។

ចន្លោះប្រហោងនេះបានធ្វើអោយមានភាព error ដែលត្រូវគេស្គាល់ថា  off-by-one នៅក្នុង  ngx_resolevr_copy () function ដែលស្ថិតនៅក្នុងដំណើរការ DNS response នោះ។ អ្នកវាយប្រហារអាចចូលទៅតាម error នេះដើម្បីដាក់កូដមេរោគ។ គួរបញ្ជាក់ផងដែរថា ចន្លោះប្រហោងនេះស្ថិតនៅក្នុង Nginx Open Source, Nginx Plus និង  Nginx Ingress Controller ។

វាក៏មានចន្លោះប្រហោង 2 ទៀតផងដែរនៅក្នុង Nginx ។ ចន្លោះប្រហោងទី 1 មានលេខកូដ  CVE-2021-23019 ដែលអនុញ្ញាតអោយហេគឃ័រអាចគ្រប់គ្រងទៅលើ  support package, recover លេខសម្ងាត់របស់ Admin និងគ្រប់គ្រងសិទ្ធិនៃប្រព័ន្ធ system ទាំងមូល។ ចន្លោះប្រហោងទី 2 មានលេខកូដ  CVE-2021-23021 ដែលអនុញ្ញាតអោយអ្នកវាយប្រហារចូលទៅកាន់ទិន្នន័យសំខាន់ដូចជា  API key បានផងដែរ។ ពេលនេះ​ក្រុមហ៊ុន Nginx ក៏បានជួសជុលទៅលើបញ្ហានេះហើយ សូមធ្វើការ​ Patch ឥឡូវនេះ!