写点什么

NGINX 开源社区:立即升级 NGINX 以应对漏洞风险

NGINX 开源社区

  • 2022-10-20
    北京
  • 本文字数:2327 字

    阅读完需:约 8 分钟

NGINX 开源社区:立即升级 NGINX 以应对漏洞风险

以下为 NGINX 开源社区发布的通告原文,遇到相关技术问题的开发者可以参考以下解决方案:


今日,我们发布了针对 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 的更新,以应对最近在 NGINX 模块 ngx_http_mp4_module 及 ngx_http_hls_module 中发现的漏洞——这两个模块用于以 MP4 以及 Apple HTTP Live Streaming (HLS) 格式进行视频流媒体处理。

一、基本信息


已发现的漏洞均已经上报到通用漏洞披露(CVE),F5 的安全应急小组(SIRT)也已根据通用漏洞评分系统(CVSS v3.1)对这些漏洞进行评分。


下列在 MP4 流媒体模块(ngx_http_mp4_module)中的漏洞影响到 NGINX Plus、NGINX 开源版以及 NGINX 企阅版。

  • CVE-2022-41741 (Memory Corruption) – CVSS score 7.1 (High)

  • CVE-2022-41742 (Memory Disclosure) – CVSS score 7.0 (High)


下列在 HLS 流媒体模块(ngx_http_hls_module)中的漏洞只对 NGINX Plus 产生影响。

  • CVE-2022-41743 (Memory Corruption) – CVSS score 7.0 (High)


针对以上漏洞的相关补丁包含在以下软件版本中:

  • NGINX Plus R27 P1

  • NGINX Plus R26 P1

  • NGINX 开源版 1.23.2(主线版)

  • NGINX 开源版 1.22.1(稳定版)

  • NGINX 企阅版 R2 P1

  • NGINX 企阅版 R1 P1

  • NGINX Ingress Controller 2.4.1

  • NGINX Ingress Controller 1.12.5


二、立即升级


所有版本的 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 均受影响,故我们强烈建议您将您的软件升级到最新版本。

NGINX 开源版用户

nginx-1.22.1 稳定版和 nginx-1.23.2 主线版已发布,其中包括了针对 ngx_http_mp4_module (CVE-2022-41741, CVE-2022-41742) 中内存损坏和内存泄漏的修复补丁。点击“本链接”立即下载。

NGINX Plus 用户

请查阅 NGINX Plus Admin Guide 中的 Upgrading NGINX Plus 一节了解升级步骤。

https://docs.nginx.com/nginx/admin-guide/installing-nginx/installing-nginx-plus/#upgrading-nginx-plus


NGINX Plus 客户还可以联系我们的售后支持团队,以获取进一步的帮助。

https://my.f5.com/

NGINX 企阅版用户

请查阅产品文档中的升级说明了解升级步骤。

https://docs.nginx-cn.net/nginx-oss-sub/installation#upgrading-nginx-open-source-subscription


NGINX 企阅版客户还可以联系我们的售后支持团队,以获取进一步的帮助。

https://my.f5.com/


三、漏洞信息

漏洞: CVE-2022-41741

NGINX ngx_http_mp4_module

https://support.f5.com/csp/article/K81926432


NGINX 在 ngx_http_mp4_module 中有一个漏洞,可能允许攻击者破坏 NGINX。使用特制的 mp4 文件可以损坏 worker 进程(负责流量处理)的内存,导致其终止或潜在的其他影响。该问题仅影响启用了 ngx_http_mp4_module 模块并在配置文件中使用 mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。

缓解措施

ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或.m4a 文件扩展名。详情请见https://nginx.org/en/docs/http/ngx_http_mp4_module.html


注意:默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。


综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。

漏洞: CVE-2022-41742

NGINX ngx_http_mp4_module

https://support.f5.com/csp/article/K28112382


NGINX 在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文件致使 worker 进程出现内存泄露。该问题仅影响启用了 ngx_http_mp4_module 模块(默认不启用)并在配置文件中使用 .mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个攻击者破坏 NGINX 的 worker 进程,导致其中止或使其内存泄露。

缓解措施

ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或 .m4a 文件扩展名。详情请见https://nginx.org/en/docs/http/ngx_http_mp4_module.html


注意:默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。


综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。

漏洞: CVE-2022-41743

NGINX ngx_http_mp4_module

https://support.f5.com/csp/article/K01112063


NGINX Plus 的模块 ngx_http_hls_module 中存在一个漏洞,该漏洞可能允许本地攻击者破坏 NGINX 的工作进程内存,从而导致其崩溃或在使用特制的音频或视频文件时产生其他潜在的影响。只有当配置文件中使用 hls 指令时,该问题才会影响 NGINX Plus。


此外,只有当攻击者可以触发使用模块 ngx_http_hls_module 对特制音频或视频文件进行 处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。

缓解措施

ngx_http_hls_module 模块为 MP4 和 MOV 媒体文件提供 HTTP 流媒体服务器端支持。这类文件通常具有 .mp4 .m4v .m4a .mov 或 .qt 的文件名扩展名。该模块支持 H.264 视频编解码器,AAC 和 MP3 音频编解码器。详情请见https://nginx.org/en/docs/http/ngx_http_hls_module.html

因此,只允许受信用户发布音频和视频文件。或者在 NGINX 配置中禁用 HLS 模块,直到升级至修复版本,可缓解此风险。

2022-10-20 18:4914740
用户头像
鲁冬雪 GMI Cloud Head of China Marketing

发布了 367 篇内容, 共 301.5 次阅读, 收获喜欢 301 次。

关注

评论 1 条评论

发布
用户头像
第一段,模块块,叠词词
2022-10-28 08:27 · 北京
回复
没有更多了
发现更多内容

Orika JavaBean映射工具使用

京东科技开发者

JAVA开发 京东云 JavaBean 企业号 3 月 PK 榜

社交软件的月活利器:从UGC到互娱

曲多多(嗨翻屋)版权音乐

互联网 软件 社交 科技 社交媒体

爆款歌曲的养成背后,是哪些因素在推动?

曲多多(嗨翻屋)版权音乐

娱乐 音乐 娱乐社交 热门 华语音乐

“一键飞桨”,轻松实现飞桨框架和套件的下载安装!

飞桨PaddlePaddle

框架 飞桨

巧用预测,多触点促业务可持续增长

HarmonyOS SDK

HMS Core

这款 IDEA 插件太好用了,堪称日志管理神器!

程序知音

火山引擎DataTester:一个A/B测试,将一款游戏的核心收益提升了8%

字节跳动数据平台

大数据 游戏 AB testing实战 企业号 3 月 PK 榜

早有尔闻 | 海尔智家牵头IEEE智能家居语音国际标准

Openlab_cosmoplat

工业互联网 开源社区 智慧生活

【值得收藏】9种让你受益终身的数据分析思维

博文视点Broadview

5个高并发导致数仓资源类报错分析

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 企业号 3 月 PK 榜

全面图像编辑:ON1 Photo RAW 2023激活版

真大的脸盆

Mac 图像处理 Mac 软件 图像编辑 raw

GreatSQL 8.0.25-17今日发布

GreatSQL

greatsql greatsql社区

Amazon Global Accelerator 的新增功能 — 互联网协议版本 6(IPv6)支持

亚马逊云科技 (Amazon Web Services)

互联网 亚马逊云科技

对比分析数仓中行列存的特性

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 企业号 3 月 PK 榜

浅谈kafka

京东科技开发者

数据库 中间件 京东云 kafka manager 企业号 3 月 PK 榜

架构师日记-软件高可用实践那些事儿

京东科技开发者

高可用 软件架构 京东云 企业号 3 月 PK 榜

从零打造你的前端开发脚手架

南城FE

前端 js 前端工程化 脚手架

聚焦企业数据生命周期全链路 火山引擎数智平台VeDI发布《数据智能知识图谱》

字节跳动数据平台

大数据 字节跳动 云服务 数据产品 企业号 3 月 PK 榜

限时促销,火山引擎ByteHouse为企业带来一波数智升级福利!

字节跳动数据平台

数据仓库 云原生 促销 特惠 企业号 3 月 PK 榜

ios系统修复软件:Fix My iPhone 激活版

真大的脸盆

ios Mac 系统修复 Mac 软件

巧用GenericObjectPool创建自定义对象池

京东科技开发者

京东云 API 编排 对象池 京东物流 企业号 3 月 PK 榜

Matlab常用图像处理命令108例(三)

timerring

图像处理

如何科学管理技术团队的研发交付速率?

LigaAI

DevOps 研发效能 技术管理 效能度量 企业号 3 月 PK 榜

架构实战营模块八作业

程序员小张

「架构实战营」

LED显示屏闪烁原因及解决办法

Dylan

LED灯闪烁 LED显示屏 全彩LED显示屏

如何有效的进行用例评审

京东科技开发者

用例 京东云 代码评审 企业号 3 月 PK 榜

async 与 Thread 的错误结合

newbe36524

C#

Databend query result cache 设计与实现

Databend

基于 Flink 流计算实现的股票交易实时资产应用

Apache Flink

大数据 flink 实时计算

详解AQS的7个同步组件

华为云开发者联盟

后端 开发 华为云 华为云开发者联盟 企业号 3 月 PK 榜

LLaMA快速上手指南

Baihai IDP

人工智能 自然语言处理 AI ChatGPT 白海科技

NGINX 开源社区:立即升级 NGINX 以应对漏洞风险_服务革新_InfoQ精选文章