写点什么

NGINX 开源社区:立即升级 NGINX 以应对漏洞风险

NGINX 开源社区

  • 2022-10-20
    北京
  • 本文字数:2327 字

    阅读完需:约 8 分钟

NGINX 开源社区:立即升级 NGINX 以应对漏洞风险

以下为 NGINX 开源社区发布的通告原文,遇到相关技术问题的开发者可以参考以下解决方案:


今日,我们发布了针对 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 的更新,以应对最近在 NGINX 模块 ngx_http_mp4_module 及 ngx_http_hls_module 中发现的漏洞——这两个模块用于以 MP4 以及 Apple HTTP Live Streaming (HLS) 格式进行视频流媒体处理。

一、基本信息


已发现的漏洞均已经上报到通用漏洞披露(CVE),F5 的安全应急小组(SIRT)也已根据通用漏洞评分系统(CVSS v3.1)对这些漏洞进行评分。


下列在 MP4 流媒体模块(ngx_http_mp4_module)中的漏洞影响到 NGINX Plus、NGINX 开源版以及 NGINX 企阅版。

  • CVE-2022-41741 (Memory Corruption) – CVSS score 7.1 (High)

  • CVE-2022-41742 (Memory Disclosure) – CVSS score 7.0 (High)


下列在 HLS 流媒体模块(ngx_http_hls_module)中的漏洞只对 NGINX Plus 产生影响。

  • CVE-2022-41743 (Memory Corruption) – CVSS score 7.0 (High)


针对以上漏洞的相关补丁包含在以下软件版本中:

  • NGINX Plus R27 P1

  • NGINX Plus R26 P1

  • NGINX 开源版 1.23.2(主线版)

  • NGINX 开源版 1.22.1(稳定版)

  • NGINX 企阅版 R2 P1

  • NGINX 企阅版 R1 P1

  • NGINX Ingress Controller 2.4.1

  • NGINX Ingress Controller 1.12.5


二、立即升级


所有版本的 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 均受影响,故我们强烈建议您将您的软件升级到最新版本。

NGINX 开源版用户

nginx-1.22.1 稳定版和 nginx-1.23.2 主线版已发布,其中包括了针对 ngx_http_mp4_module (CVE-2022-41741, CVE-2022-41742) 中内存损坏和内存泄漏的修复补丁。点击“本链接”立即下载。

NGINX Plus 用户

请查阅 NGINX Plus Admin Guide 中的 Upgrading NGINX Plus 一节了解升级步骤。

https://docs.nginx.com/nginx/admin-guide/installing-nginx/installing-nginx-plus/#upgrading-nginx-plus


NGINX Plus 客户还可以联系我们的售后支持团队,以获取进一步的帮助。

https://my.f5.com/

NGINX 企阅版用户

请查阅产品文档中的升级说明了解升级步骤。

https://docs.nginx-cn.net/nginx-oss-sub/installation#upgrading-nginx-open-source-subscription


NGINX 企阅版客户还可以联系我们的售后支持团队,以获取进一步的帮助。

https://my.f5.com/


三、漏洞信息

漏洞: CVE-2022-41741

NGINX ngx_http_mp4_module

https://support.f5.com/csp/article/K81926432


NGINX 在 ngx_http_mp4_module 中有一个漏洞,可能允许攻击者破坏 NGINX。使用特制的 mp4 文件可以损坏 worker 进程(负责流量处理)的内存,导致其终止或潜在的其他影响。该问题仅影响启用了 ngx_http_mp4_module 模块并在配置文件中使用 mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。

缓解措施

ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或.m4a 文件扩展名。详情请见https://nginx.org/en/docs/http/ngx_http_mp4_module.html


注意:默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。


综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。

漏洞: CVE-2022-41742

NGINX ngx_http_mp4_module

https://support.f5.com/csp/article/K28112382


NGINX 在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文件致使 worker 进程出现内存泄露。该问题仅影响启用了 ngx_http_mp4_module 模块(默认不启用)并在配置文件中使用 .mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个攻击者破坏 NGINX 的 worker 进程,导致其中止或使其内存泄露。

缓解措施

ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或 .m4a 文件扩展名。详情请见https://nginx.org/en/docs/http/ngx_http_mp4_module.html


注意:默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。


综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。

漏洞: CVE-2022-41743

NGINX ngx_http_mp4_module

https://support.f5.com/csp/article/K01112063


NGINX Plus 的模块 ngx_http_hls_module 中存在一个漏洞,该漏洞可能允许本地攻击者破坏 NGINX 的工作进程内存,从而导致其崩溃或在使用特制的音频或视频文件时产生其他潜在的影响。只有当配置文件中使用 hls 指令时,该问题才会影响 NGINX Plus。


此外,只有当攻击者可以触发使用模块 ngx_http_hls_module 对特制音频或视频文件进行 处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。

缓解措施

ngx_http_hls_module 模块为 MP4 和 MOV 媒体文件提供 HTTP 流媒体服务器端支持。这类文件通常具有 .mp4 .m4v .m4a .mov 或 .qt 的文件名扩展名。该模块支持 H.264 视频编解码器,AAC 和 MP3 音频编解码器。详情请见https://nginx.org/en/docs/http/ngx_http_hls_module.html

因此,只允许受信用户发布音频和视频文件。或者在 NGINX 配置中禁用 HLS 模块,直到升级至修复版本,可缓解此风险。

2022-10-20 18:4914940
用户头像
鲁冬雪 GMI Cloud Head of China Marketing

发布了 370 篇内容, 共 314.1 次阅读, 收获喜欢 304 次。

关注

评论 1 条评论

发布
用户头像
第一段,模块块,叠词词
2022-10-28 08:27 · 北京
回复
没有更多了
发现更多内容

时序数据库TDengine 2024 年末奖项大盘点,七大奖杯实力出圈!

TDengine

tdengine 时序数据库 数据库·

【YashanDB知识库】导入数据时报错:YAS-00008 type convert error:literal does not match format string

YashanDB

数据库 yashandb

时序数据库TDengine 3.3.5.0 发布:高并发支持与增量备份功能引领新升级

TDengine

数据库 tdengine 时序数据库

全域数据资产管理平台 | SimbaFabric

奇点云

大数据 AI 数据平台 大模型

为什么说预测市场AI Agent项目 Aegis ,将会超越 axibt 的高度?

股市老人

懒猫微服移植 drawDB 应用

玄兴梦影

NAS 移植应用 懒猫微服应用移植 drawDB 懒猫微服

【YashanDB知识库】并发update报错YAS-02208 lock conflict in consistent write

YashanDB

数据库 yashandb

一路相伴,非凸科技助力第49届ICPC亚洲区决赛

非凸科技

用DevEco Studio性能分析工具 高效解决鸿蒙原生应用内存问题

最新动态

《CPython Internals》阅读笔记:p118-p150

codists

CPython Internals

【YashanDB知识库】Hive 命令工具insert崖山数据库报错

YashanDB

数据库 yashandb

国产分布式数据库的发展历程以及发展难点以OceanBase为例

极客天地

【YashanDB知识库】YMP校验从yashandb同步到oracle的数据时,字段timestamp(0)出现不一致

YashanDB

数据库 yashandb

解锁电商数据的无限可能:探秘京东商品SKU信息API接口

科普小能手

数据挖掘 电商 京东 运营干货 API 接口

如何利用1688商品采集API高效获取商品信息:深度解析

代码忍者

1688API接口

AI口语陪练APP的技术难点

北京木奇移动技术有限公司

AI技术 软件外包公司 AI口语练习

赛果公布!有灵AOP平台首届编程挑战赛圆满落幕

网易伏羲

编程 aop 网易伏羲 AOP编程

Kokoro,一个 82M 参数的超强 TTS 模型;美团、字节领投 3D 生成大模型影眸科技丨 RTE 开发者日报

声网

【连载 11】Phaser 类

FunTester

快速上手 INFINI Console 的 TopN 指标功能

极限实验室

INFINI Console TopN

QT软件系统的优化

北京木奇移动技术有限公司

软件外包 QT软件开发 QT软件外包

刷力扣的技巧:4个步骤7个关键点,事半功倍,冲进大厂!

王中阳Go

算法 面试题 力扣 大学生就业 求职面试

AI口语陪练APP开发的关键技术

北京木奇移动技术有限公司

英语学习 软件外包公司 AI口语练习

2025 年以太坊和 Polkadot 生态中有哪些关键进展值得关注?

TechubNews

区块链 以太坊 web3 #Web3 加密市场

一文详解 Astherus “Stage 1: Spectra”,开启 DeFi 收益之门

股市老人

【YashanDB知识库】druid连接池做断网测试,无法自动重新连接

YashanDB

数据库 yashandb

NGINX 开源社区:立即升级 NGINX 以应对漏洞风险_服务革新_InfoQ精选文章