立即升级 NGINX 以应对漏洞风险
原文作者:NGINX
原文链接:立即升级 NGINX 以应对漏洞风险
转载来源:NGINX 开源社区
今日,我们发布了针对 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 的更新,以应对最近在 NGINX 模块 ngx_http_mp4_module 及 ngx_http_hls_module 中发现的漏洞—— 这两个模块用于以 MP4 以及 Apple HTTP Live Streaming (HLS) 格式进行视频流媒体处理。
基本信息
已发现的漏洞均已经上报到通用漏洞披露(CVE),F5 的安全应急小组(SIRT)也已根据通用漏洞评分系统(CVSS v3.1)对这些漏洞进行评分。
下列在 MP4 流媒体模块(ngx_http_mp4_module)中的漏洞影响到 NGINX Plus、NGINX 开源版以及 NGINX 企阅版。
- CVE-2022-41741 (Memory Corruption) – CVSS score 7.1 (High)
- CVE-2022-41742 (Memory Disclosure) – CVSS score 7.0 (High)
下列在 HLS 流媒体模块(ngx_http_hls_module)中的漏洞只对 NGINX Plus 产生影响。
- CVE-2022-41743 (Memory Corruption) – CVSS score 7.0 (High)
针对以上漏洞的相关补丁包含在以下软件版本中:
- NGINX Plus R27 P1
- NGINX Plus R26 P1
- NGINX 开源版 1.23.2(主线版)
- NGINX 开源版 1.22.1(稳定版)
- NGINX 企阅版 R2 P1
- NGINX 企阅版 R1 P1
- NGINX Ingress Controller 2.4.1
- NGINX Ingress Controller 1.12.5
立即升级
所有版本的 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 均受影响,故我们强烈建议您将您的软件升级到最新版本。
NGINX 开源版用户
nginx-1.22.1 稳定版和 nginx-1.23.2 主线版已发布,其中包括了针对 ngx_http_mp4_module (CVE-2022-41741, CVE-2022-41742) 中内存损坏和内存泄漏的修复补丁。
下载地址:http://nginx.org/#2022-10-19
NGINX Plus 用户
请查阅 NGINX Plus Admin Guide 中的 Upgrading NGINX Plus 一节了解升级步骤。
https://docs.nginx.com/nginx/admin-guide/installing-nginx/installing-nginx-plus/#upgrading-nginx-plus
NGINX Plus 客户还可以联系我们的售后支持团队,以获取进一步的帮助。
https://my.f5.com/
NGINX 企阅版用户
请查阅产品文档中的升级说明了解升级步骤。
https://docs.nginx-cn.net/nginx-oss-sub/installation#upgrading-nginx-open-source-subscription
NGINX 企阅版客户还可以联系我们的售后支持团队,以获取进一步的帮助。
https://my.f5.com/
漏洞信息
漏洞: CVE-2022-41741
NGINX ngx_http_mp4_module
https://support.f5.com/csp/article/K81926432
NGINX 在 ngx_http_mp4_module 中有一个漏洞,可能允许攻击者破坏 NGINX。使用特制的 mp4 文件可以损坏 worker 进程(负责流量处理)的内存,导致其终止或潜在的其他影响。该问题仅影响启用了 ngx_http_mp4_module 模块并在配置文件中使用 mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。
漏洞影响
一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。
缓解措施
ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或.m4a 文件扩展名。详情请见 https://nginx.org/en/docs/http/ngx_http_mp4_module.html
注意:默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。
综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。
漏洞: CVE-2022-41742
NGINX ngx_http_mp4_module
https://support.f5.com/csp/article/K28112382
NGINX 在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文件致使 worker 进程出现内存泄露。该问题仅影响启用了 ngx_http_mp4_module 模块(默认不启用)并在配置文件中使用 .mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。
漏洞影响
一次成功的利用可能允许一个攻击者破坏 NGINX 的 worker 进程,导致其中止或使其内存泄露。
缓解措施
ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或 .m4a 文件扩展名。详情请见 https://nginx.org/en/docs/http/ngx_http_mp4_module.html
注意:默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。
综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。
漏洞: CVE-2022-41743
NGINX ngx_http_mp4_module
https://support.f5.com/csp/article/K01112063
NGINX Plus 的模块 ngx_http_hls_module 中存在一个漏洞,该漏洞可能允许本地攻击者破坏 NGINX 的工作进程内存,从而导致其崩溃或在使用特制的音频或视频文件时产生其他潜在的影响。只有当配置文件中使用 hls 指令时,该问题才会影响 NGINX Plus。
此外,只有当攻击者可以触发使用模块 ngx_http_hls_module 对特制音频或视频文件进行 处理时,攻击才有可能成功。
漏洞影响
一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。
缓解措施
ngx_http_hls_module 模块为 MP4 和 MOV 媒体文件提供 HTTP 流媒体服务器端支持。这类文件通常具有 .mp4 .m4v .m4a .mov 或 .qt 的文件名扩展名。该模块支持 H.264 视频编解码器,AAC 和 MP3 音频编解码器。详情请见 https://nginx.org/en/docs/http/ngx_http_hls_module.html
因此,只允许受信用户发布音频和视频文件。或者在 NGINX 配置中禁用 HLS 模块,直到升级至修复版本,可缓解此风险。
更多资源
想要更及时全面地获取 NGINX 相关的技术干货、互动问答、系列课程、活动资源?
请前往 NGINX 开源社区:
- 官网:https://www.nginx.org.cn/
- 微信公众号:https://mp.weixin.qq.com/s/XVE5yvDbmJtpV2alsIFwJg
- 微信群:https://www.nginx.org.cn/static/pc/images/homePage/QR-code.png?v=1621313354
- B 站:https://space.bilibili.com/6283
立即升级 NGINX 以应对漏洞风险相关推荐
- 绿盟漏洞-平滑升级nginx
事件背景 Nginx 11月6日的安全更新中,修补了三个可导致拒绝服务的漏洞:CVE-2018-16843,CVE-2018-16844和CVE-2018-16845.位于nginx HTTP/2 模 ...
- Linux利用源码包升级Nginx到1.23.1用以解决nginx安全漏洞问题
目录 背景 准备工作 升级 验证 背景 升级nginx到1.23.1用以解决以下下安全漏洞问题 NGINX 环境问题漏洞(CVE-2019-20372) NGINX 环境问题漏洞(CVE-2020-1 ...
- 天融信安全接入客户端_天融信提示您警惕物联网设备Ripple20漏洞风险
近日,天融信阿尔法实验室在JSOF实验室发布的由Treck公司开发的TCP/IP软件库中获取到一系列0day漏洞.JSOF实验室发布的这批漏洞共计19个,被JSOF研究人员称为"Ripple ...
- 降低漏洞风险的六大法宝!
毫无疑问,有效的漏洞修复是信息安全整体策略中很重要的一环.个人计算机.服务器.笔记本电脑和通信基础设施中的漏洞,往往为入侵者所利用.举个例子:恶意软件Chthonic就是通过利用微软Office软件漏 ...
- Window 远程桌面漏洞风险,各个厂家的扫描修复方案(CVE-2019-0708)
Window 远程桌面漏洞风险,各个厂家的扫描修复方案(CVE-2019-0708) 自微软公司于2019年5月14日发布远程桌面服务远程代码执行漏洞(CVE-2019-0708)安全公告后,整个业界 ...
- Apache Log4j2远程代码执行漏洞风险紧急通告,腾讯安全支持全面检测拦截
腾讯安全注意到,一个Apache Log4j2的高危漏洞细节被公开,攻击者利用漏洞可以远程执行代码. 漏洞描述: 腾讯安全注意到,一个Apache Log4j2反序列化远程代码执行漏洞细节已被公开,L ...
- Nginx心脏出血漏洞整改脚本【原创】
nginx心脏出血漏洞整改要查看nginx用到的OpenSSL版本,此实例用的openssl-1.0.2o版本. 一般nginx的安装路径是在/usr/local/nginx,进入该目录,执行ngin ...
- 【转载】升级OpenSSL修复高危漏洞Heartbleed
背景: OpenSSL全称为Secure Socket Layer,是Netscape所研发,利用数据加密(Encryption)作技术保障在Internet上数据传输的安全.可确保数据 ...
- 升级nginx以支持http2的方法
本篇文章主要介绍了升级nginx以支持http2的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考.一起跟随小编过来看看吧 本文介绍了升级nginx以支持http2的方法,分享给大家,具体如下 ...
最新文章
- AI2XAML's Bug(sequel)
- 免费好用的Diff和Merge工具大总结
- [编程技巧] 巧用CPU缓存优化代码:数组 vs. 链表
- volatile的作用(转自于http://www.csdn.net/)——今天差点忘记了!
- 计算机网络·片偏移练习题
- 在Ajax方式产生的浮动框中,点击选项包含某个关键字的选项
- 从0到1构建美团压测工具
- python性能分析工具模块_Python Profilers 分析器
- 网页防篡改测试报告(2008版)
- 问题十八:怎么对ray tracing图形进行消锯齿
- jetson用什么编译器_TK1入门教程软件篇-安装Nsight
- 软件测试工程师简历模板(三年经验)
- 基于单片机的电池管理系统
- 固态硬盘数据丢失能恢复吗?含泪分享:固态硬盘数据恢复方法
- 尘世了了 花开花落昔年同
- c# forbidden.html,403 Forbidden错误的浏览器行为
- 为没有历史的互联网留下历史——闪客帝国回忆录
- 利用pandoc把latex文件转换为word的基本操作
- 赛门铁克:与神州云科合作达成两大目标
- vertical-align作用,基线详解
热门文章
- eigen 中的matrix
- matlab的无穷大怎样表示_matlab中从一到无穷大怎么表示
- 中国就业市场“稳”字当头 新兴技能岗位大幅增加
- 基于图神经网络的推荐系统,图神经网络算法分类
- 使用ThreeJs从零开始构建3D智能仓库——第二章(创建地面与门窗)
- 黑马培训有python吗
- 美通社日历 | 会展及重要事件信息、企业财报发布,节假日备忘(3月22日—3月28日)...
- Linux下shell命令:top
- 干货分享,一个 IP 网段地址!Python
- 指纹辨识传感器解决方案