写点什么

NGINX 开源社区:立即升级 NGINX 以应对漏洞风险

NGINX 开源社区

  • 2022-10-20
    北京
  • 本文字数:2327 字

    阅读完需:约 8 分钟

NGINX 开源社区:立即升级 NGINX 以应对漏洞风险

以下为 NGINX 开源社区发布的通告原文,遇到相关技术问题的开发者可以参考以下解决方案:


今日,我们发布了针对 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 的更新,以应对最近在 NGINX 模块 ngx_http_mp4_module 及 ngx_http_hls_module 中发现的漏洞——这两个模块用于以 MP4 以及 Apple HTTP Live Streaming (HLS) 格式进行视频流媒体处理。

一、基本信息


已发现的漏洞均已经上报到通用漏洞披露(CVE),F5 的安全应急小组(SIRT)也已根据通用漏洞评分系统(CVSS v3.1)对这些漏洞进行评分。


下列在 MP4 流媒体模块(ngx_http_mp4_module)中的漏洞影响到 NGINX Plus、NGINX 开源版以及 NGINX 企阅版。

  • CVE-2022-41741 (Memory Corruption) – CVSS score 7.1 (High)

  • CVE-2022-41742 (Memory Disclosure) – CVSS score 7.0 (High)


下列在 HLS 流媒体模块(ngx_http_hls_module)中的漏洞只对 NGINX Plus 产生影响。

  • CVE-2022-41743 (Memory Corruption) – CVSS score 7.0 (High)


针对以上漏洞的相关补丁包含在以下软件版本中:

  • NGINX Plus R27 P1

  • NGINX Plus R26 P1

  • NGINX 开源版 1.23.2(主线版)

  • NGINX 开源版 1.22.1(稳定版)

  • NGINX 企阅版 R2 P1

  • NGINX 企阅版 R1 P1

  • NGINX Ingress Controller 2.4.1

  • NGINX Ingress Controller 1.12.5


二、立即升级


所有版本的 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 均受影响,故我们强烈建议您将您的软件升级到最新版本。

NGINX 开源版用户

nginx-1.22.1 稳定版和 nginx-1.23.2 主线版已发布,其中包括了针对 ngx_http_mp4_module (CVE-2022-41741, CVE-2022-41742) 中内存损坏和内存泄漏的修复补丁。点击“本链接”立即下载。

NGINX Plus 用户

请查阅 NGINX Plus Admin Guide 中的 Upgrading NGINX Plus 一节了解升级步骤。

https://docs.nginx.com/nginx/admin-guide/installing-nginx/installing-nginx-plus/#upgrading-nginx-plus


NGINX Plus 客户还可以联系我们的售后支持团队,以获取进一步的帮助。

https://my.f5.com/

NGINX 企阅版用户

请查阅产品文档中的升级说明了解升级步骤。

https://docs.nginx-cn.net/nginx-oss-sub/installation#upgrading-nginx-open-source-subscription


NGINX 企阅版客户还可以联系我们的售后支持团队,以获取进一步的帮助。

https://my.f5.com/


三、漏洞信息

漏洞: CVE-2022-41741

NGINX ngx_http_mp4_module

https://support.f5.com/csp/article/K81926432


NGINX 在 ngx_http_mp4_module 中有一个漏洞,可能允许攻击者破坏 NGINX。使用特制的 mp4 文件可以损坏 worker 进程(负责流量处理)的内存,导致其终止或潜在的其他影响。该问题仅影响启用了 ngx_http_mp4_module 模块并在配置文件中使用 mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。

缓解措施

ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或.m4a 文件扩展名。详情请见https://nginx.org/en/docs/http/ngx_http_mp4_module.html


注意:默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。


综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。

漏洞: CVE-2022-41742

NGINX ngx_http_mp4_module

https://support.f5.com/csp/article/K28112382


NGINX 在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文件致使 worker 进程出现内存泄露。该问题仅影响启用了 ngx_http_mp4_module 模块(默认不启用)并在配置文件中使用 .mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个攻击者破坏 NGINX 的 worker 进程,导致其中止或使其内存泄露。

缓解措施

ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或 .m4a 文件扩展名。详情请见https://nginx.org/en/docs/http/ngx_http_mp4_module.html


注意:默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。


综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。

漏洞: CVE-2022-41743

NGINX ngx_http_mp4_module

https://support.f5.com/csp/article/K01112063


NGINX Plus 的模块 ngx_http_hls_module 中存在一个漏洞,该漏洞可能允许本地攻击者破坏 NGINX 的工作进程内存,从而导致其崩溃或在使用特制的音频或视频文件时产生其他潜在的影响。只有当配置文件中使用 hls 指令时,该问题才会影响 NGINX Plus。


此外,只有当攻击者可以触发使用模块 ngx_http_hls_module 对特制音频或视频文件进行 处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。

缓解措施

ngx_http_hls_module 模块为 MP4 和 MOV 媒体文件提供 HTTP 流媒体服务器端支持。这类文件通常具有 .mp4 .m4v .m4a .mov 或 .qt 的文件名扩展名。该模块支持 H.264 视频编解码器,AAC 和 MP3 音频编解码器。详情请见https://nginx.org/en/docs/http/ngx_http_hls_module.html

因此,只允许受信用户发布音频和视频文件。或者在 NGINX 配置中禁用 HLS 模块,直到升级至修复版本,可缓解此风险。

2022-10-20 18:4914718
用户头像
鲁冬雪 GMI Cloud Head of China Marketing

发布了 367 篇内容, 共 300.2 次阅读, 收获喜欢 301 次。

关注

评论 1 条评论

发布
用户头像
第一段,模块块,叠词词
2022-10-28 08:27 · 北京
回复
没有更多了
发现更多内容

火爆全球的“饺子皮”3D手办原来是这样做的!关键时刻少不了远程控制软件!

RayLink远程工具

远程控制软件 远程办公软件 远控软件 远程桌面连接 RayLink

新课程发布 | 如何用 7 分钟击破 Serverless 落地难点?

阿里巴巴云原生

阿里云 Serverless 云原生

SpringBoot:四种读取properties文件的方式

@下一站

程序设计 软件开发 springboot 11月月更

Kotlin使用 lateinit 的一些考虑

子不语Any

android kotlin 11月月更

Spring Security权限管理原理

@下一站

程序设计 软件开发 springboot 11月月更

图计算的黄金时代 知识图谱背后的数据价值

Neo4j 图无处不在

neo4j 图数据库 知识图谱 图计算 图技术

Python操作Numpy模块

度假的小鱼

Numpy 11月月更 Python操作Numpy模块库

浅谈Kotlin与Java互操作(上)

子不语Any

android kotlin 11月月更

极客时间运维进阶训练营第六周作业

独钓寒江

重磅 | 九科信息与达梦完成产品兼容性认证,携手共建信创生态

九科Ninetech

10 个杀手级的 Python 自动化脚

千锋IT教育

一言不合就重构

捉虫大师

架构 微服务 服务发现 健康检查 11月月更

Kotlin用高阶函数处理集合数据

子不语Any

android kotlin 11月月更

Kotlin中Regex正则表达式(下)

子不语Any

android kotlin 11月月更

深入浅出Spring Boot接口

@下一站

程序设计 软件开发 springboot 11月月更

企业上云不再是梦,华为云带你成功上云

科技说

构建基于 Ingress 的全链路灰度能力

阿里巴巴云原生

阿里云 微服务 云原生w

Python基础库-正则表达式库

度假的小鱼

正则 11月月更 Python正则表达式库

2022年中国在线视频用户观看行为洞察

易观分析

视频 报告 用户

一文深度解读边缘计算产业发展前景

阿里云CloudImagine

阿里云 边缘计算

Lattice - 面向高可扩展的业务框架

原力在线

架构 中台 插件 lattice 业务平台分离

Spring MVC 和 Struts 的区别是什么?

千锋IT教育

Python 操作pdf(pdfplumber读取PDF写入Exce)

度假的小鱼

11月月更 Python 操作pdf文件 pdfplumber

百万企业用户选择的华为云云服务器,你不来了解一下吗?

科技怪授

springboot整合canal

@下一站

Java 程序开发 spring-boot 11月月更

关于不法分子冒用我司名义虚假招聘的严正声明

嘉为蓝鲸

pringBoot的全局异常处理汇总

@下一站

程序设计 软件开发 springboot 11月月更

Kotlin中Regex正则表达式(上)

子不语Any

android kotlin 11月月更

ModelWhale 教学实训模块,更流畅的作业编写及提交体验|ModelWhale 版本更新

ModelWhale

人工智能 机器学习 数据分析 编程建模 教学实训

RocketMQ 的消费者类型详解与最佳实践

阿里巴巴云原生

阿里云 RocketMQ 云原生

浅谈Kotlin与Java互操作(下)

子不语Any

android kotlin 11月月更

NGINX 开源社区:立即升级 NGINX 以应对漏洞风险_服务革新_InfoQ精选文章