以下为 NGINX 开源社区 发布的通告原文,遇到相关技术问题的开发者可以参考以下解决方案:
今日,我们发布了针对NGINX Plus、NGINX开源版、NGINX企阅版以及NGINX Ingress Controller的更新,以应对最近在NGINX模块ngx_http_mp4_module及ngx_http_hls_module中发现的漏洞——这两个模块用于以 MP4 以及 Apple HTTP Live Streaming (HLS)格式进行视频流媒体处理。
一、基本信息
已发现的漏洞均已经上报到通用漏洞披露(CVE),F5 的安全应急小组(SIRT)也已根据通用漏洞评分系统(CVSS v3.1)对这些漏洞进行评分。
下列在 MP4 流媒体模块(ngx_http_mp4_module)中的漏洞影响到 NGINX Plus、NGINX 开源版以及 NGINX 企阅版。
下列在 HLS 流媒体模块(ngx_http_hls_module)中的漏洞只对 NGINX Plus 产生影响。
针对以上漏洞的相关补丁包含在以下软件版本中:
二、立即升级
所有版本的 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 均受影响,故 我们强烈建议您将您的软件升级到最新版本。
NGINX 开源版用户
nginx-1.22.1 稳定版和 nginx-1.23.2 主线版已发布,其中包括了针对 ngx_http_mp4_module (CVE-2022-41741, CVE-2022-41742) 中内存损坏和内存泄漏的修复补丁。点击“本链接”立即下载。
NGINX Plus 用户
请查阅 NGINX Plus Admin Guide 中的 Upgrading NGINX Plus 一节了解升级步骤。
Plus 客户还可以联系我们的售后支持团队,以获取进一步的帮助。
top="2164.6875">NGINX 企阅版用户
请查阅产品文档中的升级说明了解升级步骤。
企阅版客户还可以联系我们的售后支持团队,以获取进一步的帮助。
top="2438.6875">三、漏洞信息
漏洞: CVE-2022-41741
NGINX ngx_http_mp4_module
top="2785.6875">漏洞影响
一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。
缓解措施
ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或.m4a 文件扩展名。详情请见注意:默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。
综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。
漏洞: CVE-2022-41742
NGINX ngx_http_mp4_module
top="3363.6875">漏洞影响
一次成功的利用可能允许一个攻击者破坏 NGINX 的 worker 进程,导致其中止或使其内存泄露。
缓解措施
ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或 .m4a 文件扩展名。详情请见注意:默认情况下,开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。
综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。
漏洞:CVE-2022-41743
NGINX ngx_http_mp4_module
top="3972.6875">漏洞影响
一次成功的利用可能允许一个本地攻击者破坏的 worker 进程,导致其中止或其他潜在的影响。
缓解措施
ngx_http_hls_module 模块为 MP4 和 MOV 媒体文件提供 HTTP 流媒体服务器端支持。这类文件通常具有 .mp4 .m4v .m4a .mov 或 .qt 的文件名扩展名。该模块支持 H.264 视频编解码器,AAC 和 MP3 音频编解码器。详情请见因此,只允许受信用户发布音频和视频文件。或者在 NGINX 配置中禁用 HLS 模块,直到升级至修复版本,可缓解此风险。
