10 月 23 - 25 日,QCon 上海站即将召开,现在购票,享9折优惠 了解详情
写点什么

NGINX 开源社区:立即升级 NGINX 以应对漏洞风险

NGINX 开源社区

  • 2022-10-20
    北京
  • 本文字数:2327 字

    阅读完需:约 8 分钟

NGINX 开源社区:立即升级 NGINX 以应对漏洞风险

以下为 NGINX 开源社区发布的通告原文,遇到相关技术问题的开发者可以参考以下解决方案:


今日,我们发布了针对 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 的更新,以应对最近在 NGINX 模块 ngx_http_mp4_module 及 ngx_http_hls_module 中发现的漏洞——这两个模块用于以 MP4 以及 Apple HTTP Live Streaming (HLS) 格式进行视频流媒体处理。

一、基本信息


已发现的漏洞均已经上报到通用漏洞披露(CVE),F5 的安全应急小组(SIRT)也已根据通用漏洞评分系统(CVSS v3.1)对这些漏洞进行评分。


下列在 MP4 流媒体模块(ngx_http_mp4_module)中的漏洞影响到 NGINX Plus、NGINX 开源版以及 NGINX 企阅版。

  • CVE-2022-41741 (Memory Corruption) – CVSS score 7.1 (High)

  • CVE-2022-41742 (Memory Disclosure) – CVSS score 7.0 (High)


下列在 HLS 流媒体模块(ngx_http_hls_module)中的漏洞只对 NGINX Plus 产生影响。

  • CVE-2022-41743 (Memory Corruption) – CVSS score 7.0 (High)


针对以上漏洞的相关补丁包含在以下软件版本中:

  • NGINX Plus R27 P1

  • NGINX Plus R26 P1

  • NGINX 开源版 1.23.2(主线版)

  • NGINX 开源版 1.22.1(稳定版)

  • NGINX 企阅版 R2 P1

  • NGINX 企阅版 R1 P1

  • NGINX Ingress Controller 2.4.1

  • NGINX Ingress Controller 1.12.5


二、立即升级


所有版本的 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 均受影响,故我们强烈建议您将您的软件升级到最新版本。

NGINX 开源版用户

nginx-1.22.1 稳定版和 nginx-1.23.2 主线版已发布,其中包括了针对 ngx_http_mp4_module (CVE-2022-41741, CVE-2022-41742) 中内存损坏和内存泄漏的修复补丁。点击“本链接”立即下载。

NGINX Plus 用户

请查阅 NGINX Plus Admin Guide 中的 Upgrading NGINX Plus 一节了解升级步骤。

https://docs.nginx.com/nginx/admin-guide/installing-nginx/installing-nginx-plus/#upgrading-nginx-plus


NGINX Plus 客户还可以联系我们的售后支持团队,以获取进一步的帮助。

https://my.f5.com/

NGINX 企阅版用户

请查阅产品文档中的升级说明了解升级步骤。

https://docs.nginx-cn.net/nginx-oss-sub/installation#upgrading-nginx-open-source-subscription


NGINX 企阅版客户还可以联系我们的售后支持团队,以获取进一步的帮助。

https://my.f5.com/


三、漏洞信息

漏洞: CVE-2022-41741

NGINX ngx_http_mp4_module

https://support.f5.com/csp/article/K81926432


NGINX 在 ngx_http_mp4_module 中有一个漏洞,可能允许攻击者破坏 NGINX。使用特制的 mp4 文件可以损坏 worker 进程(负责流量处理)的内存,导致其终止或潜在的其他影响。该问题仅影响启用了 ngx_http_mp4_module 模块并在配置文件中使用 mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。

缓解措施

ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或.m4a 文件扩展名。详情请见https://nginx.org/en/docs/http/ngx_http_mp4_module.html


注意:默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。


综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。

漏洞: CVE-2022-41742

NGINX ngx_http_mp4_module

https://support.f5.com/csp/article/K28112382


NGINX 在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文件致使 worker 进程出现内存泄露。该问题仅影响启用了 ngx_http_mp4_module 模块(默认不启用)并在配置文件中使用 .mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个攻击者破坏 NGINX 的 worker 进程,导致其中止或使其内存泄露。

缓解措施

ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或 .m4a 文件扩展名。详情请见https://nginx.org/en/docs/http/ngx_http_mp4_module.html


注意:默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。


综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。

漏洞: CVE-2022-41743

NGINX ngx_http_mp4_module

https://support.f5.com/csp/article/K01112063


NGINX Plus 的模块 ngx_http_hls_module 中存在一个漏洞,该漏洞可能允许本地攻击者破坏 NGINX 的工作进程内存,从而导致其崩溃或在使用特制的音频或视频文件时产生其他潜在的影响。只有当配置文件中使用 hls 指令时,该问题才会影响 NGINX Plus。


此外,只有当攻击者可以触发使用模块 ngx_http_hls_module 对特制音频或视频文件进行 处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。

缓解措施

ngx_http_hls_module 模块为 MP4 和 MOV 媒体文件提供 HTTP 流媒体服务器端支持。这类文件通常具有 .mp4 .m4v .m4a .mov 或 .qt 的文件名扩展名。该模块支持 H.264 视频编解码器,AAC 和 MP3 音频编解码器。详情请见https://nginx.org/en/docs/http/ngx_http_hls_module.html

因此,只允许受信用户发布音频和视频文件。或者在 NGINX 配置中禁用 HLS 模块,直到升级至修复版本,可缓解此风险。

2022-10-20 18:4914912
用户头像
鲁冬雪 GMI Cloud Head of China Marketing

发布了 370 篇内容, 共 312.3 次阅读, 收获喜欢 304 次。

关注

评论 1 条评论

发布
用户头像
第一段,模块块,叠词词
2022-10-28 08:27 · 北京
回复
没有更多了
发现更多内容

大语言模型提示词工程

测吧(北京)科技有限公司

测试

云服务器Flexus X实例,Docker集成搭建Mysql集群

轶天下事

枫清科技荣膺“2024 中国大数据产业年度最具投资价值企业”

Fabarta

#人工智能 企业数智化转型 #大模型

云服务器Flexus X实例,Docker集成搭建Gitea私有仓库

轶天下事

3分钟理清QPS、TPS、RT 以及它们之间的关系

秃头小帅oi

京东店铺所有商品数据接口(JD.item_search_shop)丨京东API接口指南

tbapi

京东API接口 京东店铺所有商品数据接口

benchANT 性能榜单技术解读 Part 1:写入吞吐

KaiwuDB

数据库

大语言模型提示词工程

测试人

人工智能 软件测试

部署轻量级任务管理工具DooTask

轶天下事

华为云Flexus X实例全面杜绝DDoS、XSS、CSRF与SQL注入攻击,为企业部署无懈可击的跨境电商独立站

轶天下事

主从同步从Binlog切换到Ticdc,性能提升巨大

TiDB 社区干货传送门

7.x 实践

使用 TiDB Vector 构建 LightRAG 知识库

TiDB 社区干货传送门

实践案例 应用适配 数据库前沿趋势

DApp开发的安全设计

北京木奇移动技术有限公司

区块链技术 dapp开发 软件外包公司

实践指南|如何构建高效、准确、敏感的指标体系

Aloudata

数据分析 指标体系 指标管理 指标平台 指标开发

深度评测,华为云Flexus X实例在Sysbench性能测试中的亮眼表现

轶天下事

云服务器Flexus X实例,Docker集成搭建Jenkins CI/CD平台

轶天下事

WebGL软件开发注意事项

北京木奇移动技术有限公司

数字孪生 软件外包公司 webgl开发

使用华为云Flexus云服务器X安装搭建crmeb多门店商城教程

轶天下事

Web3项目智能合约开发

北京木奇移动技术有限公司

区块链技术 软件外包公司 web3开发

什么样的MES系统能够让制造业IT部门省事省心呢?

万界星空科技

数字化 制造业 mes 万界星空科技mes 生产管理MES系统

构建高效搜索解决方案,Elasticsearch & Kibana的完美结合

轶天下事

抖音运营:解锁流量增长密码

科普小能手

数据分析 短视频 抖音引流 抖音接口

在基于华为云Flexus云服务器X部署的CRMEB商城系统中进行二次开发

轶天下事

探索 Pencils Swap 的叙事:为 DeFi 的再次爆发蓄力

西柚子

NGINX 开源社区:立即升级 NGINX 以应对漏洞风险_服务革新_InfoQ精选文章