写点什么

NGINX 开源社区:立即升级 NGINX 以应对漏洞风险

NGINX 开源社区

  • 2022-10-20
    北京
  • 本文字数:2327 字

    阅读完需:约 8 分钟

NGINX 开源社区:立即升级 NGINX 以应对漏洞风险

以下为 NGINX 开源社区发布的通告原文,遇到相关技术问题的开发者可以参考以下解决方案:


今日,我们发布了针对 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 的更新,以应对最近在 NGINX 模块 ngx_http_mp4_module 及 ngx_http_hls_module 中发现的漏洞——这两个模块用于以 MP4 以及 Apple HTTP Live Streaming (HLS) 格式进行视频流媒体处理。

一、基本信息


已发现的漏洞均已经上报到通用漏洞披露(CVE),F5 的安全应急小组(SIRT)也已根据通用漏洞评分系统(CVSS v3.1)对这些漏洞进行评分。


下列在 MP4 流媒体模块(ngx_http_mp4_module)中的漏洞影响到 NGINX Plus、NGINX 开源版以及 NGINX 企阅版。

  • CVE-2022-41741 (Memory Corruption) – CVSS score 7.1 (High)

  • CVE-2022-41742 (Memory Disclosure) – CVSS score 7.0 (High)


下列在 HLS 流媒体模块(ngx_http_hls_module)中的漏洞只对 NGINX Plus 产生影响。

  • CVE-2022-41743 (Memory Corruption) – CVSS score 7.0 (High)


针对以上漏洞的相关补丁包含在以下软件版本中:

  • NGINX Plus R27 P1

  • NGINX Plus R26 P1

  • NGINX 开源版 1.23.2(主线版)

  • NGINX 开源版 1.22.1(稳定版)

  • NGINX 企阅版 R2 P1

  • NGINX 企阅版 R1 P1

  • NGINX Ingress Controller 2.4.1

  • NGINX Ingress Controller 1.12.5


二、立即升级


所有版本的 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 均受影响,故我们强烈建议您将您的软件升级到最新版本。

NGINX 开源版用户

nginx-1.22.1 稳定版和 nginx-1.23.2 主线版已发布,其中包括了针对 ngx_http_mp4_module (CVE-2022-41741, CVE-2022-41742) 中内存损坏和内存泄漏的修复补丁。点击“本链接”立即下载。

NGINX Plus 用户

请查阅 NGINX Plus Admin Guide 中的 Upgrading NGINX Plus 一节了解升级步骤。

https://docs.nginx.com/nginx/admin-guide/installing-nginx/installing-nginx-plus/#upgrading-nginx-plus


NGINX Plus 客户还可以联系我们的售后支持团队,以获取进一步的帮助。

https://my.f5.com/

NGINX 企阅版用户

请查阅产品文档中的升级说明了解升级步骤。

https://docs.nginx-cn.net/nginx-oss-sub/installation#upgrading-nginx-open-source-subscription


NGINX 企阅版客户还可以联系我们的售后支持团队,以获取进一步的帮助。

https://my.f5.com/


三、漏洞信息

漏洞: CVE-2022-41741

NGINX ngx_http_mp4_module

https://support.f5.com/csp/article/K81926432


NGINX 在 ngx_http_mp4_module 中有一个漏洞,可能允许攻击者破坏 NGINX。使用特制的 mp4 文件可以损坏 worker 进程(负责流量处理)的内存,导致其终止或潜在的其他影响。该问题仅影响启用了 ngx_http_mp4_module 模块并在配置文件中使用 mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。

缓解措施

ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或.m4a 文件扩展名。详情请见https://nginx.org/en/docs/http/ngx_http_mp4_module.html


注意:默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。


综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。

漏洞: CVE-2022-41742

NGINX ngx_http_mp4_module

https://support.f5.com/csp/article/K28112382


NGINX 在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文件致使 worker 进程出现内存泄露。该问题仅影响启用了 ngx_http_mp4_module 模块(默认不启用)并在配置文件中使用 .mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个攻击者破坏 NGINX 的 worker 进程,导致其中止或使其内存泄露。

缓解措施

ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或 .m4a 文件扩展名。详情请见https://nginx.org/en/docs/http/ngx_http_mp4_module.html


注意:默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。


综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。

漏洞: CVE-2022-41743

NGINX ngx_http_mp4_module

https://support.f5.com/csp/article/K01112063


NGINX Plus 的模块 ngx_http_hls_module 中存在一个漏洞,该漏洞可能允许本地攻击者破坏 NGINX 的工作进程内存,从而导致其崩溃或在使用特制的音频或视频文件时产生其他潜在的影响。只有当配置文件中使用 hls 指令时,该问题才会影响 NGINX Plus。


此外,只有当攻击者可以触发使用模块 ngx_http_hls_module 对特制音频或视频文件进行 处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。

缓解措施

ngx_http_hls_module 模块为 MP4 和 MOV 媒体文件提供 HTTP 流媒体服务器端支持。这类文件通常具有 .mp4 .m4v .m4a .mov 或 .qt 的文件名扩展名。该模块支持 H.264 视频编解码器,AAC 和 MP3 音频编解码器。详情请见https://nginx.org/en/docs/http/ngx_http_hls_module.html

因此,只允许受信用户发布音频和视频文件。或者在 NGINX 配置中禁用 HLS 模块,直到升级至修复版本,可缓解此风险。

2022-10-20 18:495186
用户头像
鲁冬雪 InfoQ 资深编辑

发布了 62 篇内容, 共 22.9 次阅读, 收获喜欢 80 次。

关注

评论 1 条评论

发布
用户头像
第一段,模块块,叠词词
2022-10-28 08:27 · 北京
回复
没有更多了
发现更多内容

内在可解释模型之RuleFit

索信达控股

机器学习 算法 模型

你以为委派模式很神秘,其实你每天都在用

Tom弹架构

Java 架构 设计模式

白码低代码/无代码开发平台功能及作用

低代码小观

低代码 开发工具 开发平台 无代码 企业服务

业务数据清洗,落地实现方案

知了一笑

数据 数据清洗 数据管理 数据服务 业务数据

入职字节跳动那一天,我哭了(蘑菇街被裁,奋战7个月拿下offer)

Java MySQL redis 程序员 算法

推动产业创新,腾讯的底层逻辑是什么?

ToB行业头条

恒源云(GPUSHARE)_Child Tuning: 反向传播版的Dropout

恒源云

深度学习

OceanBase 源码解读(六):存储引擎详解

OceanBase 数据库

数据库 开发者 高性能 资源隔离 租户

原来我才是内卷王,闭关3个月肝完Java 7大核心知识,成功斩获字节58万Offer。

Java高级开发

字节跳动 java; 字节跳动面经

极光笔记丨Spark SQL 在极光的建设实践

极光JIGUANG

大数据 spark 计算引擎

行云管家荣登36kr企服点评云计算软件排行榜NO.1

行云管家

云计算 软件 排行榜 IT运维

墨天轮国产数据库沙龙 | 黄新著:金仓数据库全生命周期管控

墨天轮

国产数据库 KingBase 人大金仓

技术干货|开源项目-FlyFish使用攻略

云智慧AIOps社区

开源 大前端 低代码 数据可视化 大屏

IOS技术分享| WebRTC iOS源码下载&编译

anyRTC开发者

ios 音视频 WebRTC 实时通信 视频直播

一文,动态规划入门

bigsai

算法 动态规划

《Linux一学就会》:第二章:Linux基本命令操作和文件管理

侠盗安全

Linux 运维 linux运维 云计算架构师

让脂肪起内讧?从内部全面瓦解脂肪

脑极体

百度人脸活体检测系统通过信通院“护脸计划”首批优秀级安全防护能力评估

百度开发者中心

安全 人脸识别 百度安全

什么是DISA STIG?概述+STIG安全

麦禾测试

11.11上云嘉年华,华为云数据库助力客户备战业务高峰

华为云数据库小助手

GaussDB GaussDB(for openGauss) GaussDB ( for Redis ) 华为云数据库

真香!180页100+题15W+字解析的《Java高级面试指南》,果断收下

Java 程序员 架构 分布式 算法

个人信息保护法生效,企业数据安全合规正当时

行云管家

信息安全 数据安全 企业安全 网络保护

JavaIO流核心模块与基本原理

知了一笑

Java nio IO流 字符流 字节流

springboot集成阿里云短信

小鲍侃java

11月日更

“神算子”上线!EasyDL时序预测模型零门槛轻松上手

百度开发者中心

百度飞桨

为什么那么多人在用WGCLOUD

王逅逅

zabbix 监控系统 linux运维 运维系统

如何获取所有安装的应用程序信息

Changing Lin

11月日更

初识Java反射概念和使用

CRMEB

低代码是什么意思?

低代码小观

程序员 低代码 开发工具 开发平台 企业开发系统

腾讯安全李滨:腾讯云数据安全与隐私保护探索与实践

腾讯安全云鼎实验室

数据安全 云安全

NGINX 开源社区:立即升级 NGINX 以应对漏洞风险_云计算_InfoQ精选文章