立即升级 NGINX 以应对漏洞风险


今日,我们发布了针对 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 的更新,以应对最近在 NGINX 模块 ngx_http_mp4_module 及 ngx_http_hls_module 中发现的漏洞——这两个模块用于以 MP4 以及 Apple HTTP Live Streaming (HLS) 格式进行视频流媒体处理。

基本信息

已发现的漏洞均已经上报到通用漏洞披露(CVE),F5 的安全应急小组(SIRT)也已根据通用漏洞评分系统(CVSS v3.1)对这些漏洞进行评分。

下列在 MP4 流媒体模块(ngx_http_mp4_module)中的漏洞影响到 NGINX Plus、NGINX 开源版以及 NGINX 企阅版。

  • CVE-2022-41741 (Memory Corruption) – CVSS score 7.1 (High)

  • CVE-2022-41742 (Memory Disclosure) – CVSS score 7.0 (High)

下列在 HLS 流媒体模块(ngx_http_hls_module)中的漏洞只对 NGINX Plus 产生影响。

  • CVE-2022-41743 (Memory Corruption) – CVSS score 7.0 (High)

针对以上漏洞的相关补丁包含在以下软件版本中:

  • NGINX Plus R27 P1

  • NGINX Plus R26 P1

  • NGINX 开源版 1.23.2(主线版)

  • NGINX 开源版 1.22.1(稳定版)

  • NGINX 企阅版 R2 P1

  • NGINX 企阅版 R1 P1

  • NGINX Ingress Controller 2.4.1

  • NGINX Ingress Controller 1.12.5

立即升级

所有版本的 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 均受影响,故我们强烈建议您将您的软件升级到最新版本。

NGINX 开源版用户

nginx-1.22.1 稳定版和 nginx-1.23.2 主线版已发布,其中包括了针对 ngx_http_mp4_module (CVE-2022-41741, CVE-2022-41742) 中内存损坏和内存泄漏的修复补丁。

下载地址:http://nginx.org/#2022-10-19

NGINX Plus 用户

请查阅 NGINX Plus Admin Guide 中的 Upgrading NGINX Plus 一节了解升级步骤。

https://docs.nginx.com/nginx/admin-guide/installing-nginx/installing-nginx-plus/#upgrading-nginx-plus

NGINX Plus 客户还可以联系我们的售后支持团队,以获取进一步的帮助。

https://my.f5.com/

NGINX 企阅版用户

请查阅产品文档中的升级说明了解升级步骤。

https://docs.nginx-cn.net/nginx-oss-sub/installation#upgrading-nginx-open-source-subscription

NGINX 企阅版客户还可以联系我们的售后支持团队,以获取进一步的帮助。

https://my.f5.com/

漏洞信息

漏洞: CVE-2022-41741

NGINX ngx_http_mp4_module
https://support.f5.com/csp/article/K81926432

NGINX 在 ngx_http_mp4_module 中有一个漏洞,可能允许攻击者破坏 NGINX。使用特制的 mp4 文件可以损坏 worker 进程(负责流量处理)的内存,导致其终止或潜在的其他影响。该问题仅影响启用了 ngx_http_mp4_module 模块并在配置文件中使用 mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。

缓解措施

ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v或.m4a文件扩展名。详情请见https://nginx.org/en/docs/http/ngx_http_mp4_module.html

注意:默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。

综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX配置中禁用MP4模块,直到升级至修复版本。

漏洞: CVE-2022-41742

NGINX ngx_http_mp4_module
https://support.f5.com/csp/article/K28112382

NGINX 在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文件致使 worker 进程出现内存泄露。该问题仅影响启用了 ngx_http_mp4_module 模块(默认不启用)并在配置文件中使用 .mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个攻击者破坏NGINX的worker进程,导致其中止或使其内存泄露。

缓解措施

ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或 .m4a 文件扩展名。详情请见https://nginx.org/en/docs/http/ngx_http_mp4_module.html

注意:默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。

综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在NGINX配置中禁用MP4模块,直到升级至修复版本。

漏洞: CVE-2022-41743

NGINX ngx_http_mp4_module
https://support.f5.com/csp/article/K01112063

NGINX Plus 的模块 ngx_http_hls_module 中存在一个漏洞,该漏洞可能允许本地攻击者破坏 NGINX 的工作进程内存,从而导致其崩溃或在使用特制的音频或视频文件时产生其他潜在的影响。只有当配置文件中使用 hls 指令时,该问题才会影响 NGINX Plus。

此外,只有当攻击者可以触发使用模块 ngx_http_hls_module 对特制音频或视频文件进行 处理时,攻击才有可能成功。

漏洞影响

一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。

缓解措施

ngx_http_hls_module 模块为 MP4 和 MOV 媒体文件提供 HTTP 流媒体服务器端支持。这类文件通常具有 .mp4 .m4v .m4a .mov 或 .qt 的文件名扩展名。该模块支持 H.264 视频编解码器,AAC 和 MP3 音频编解码器。详情请见https://nginx.org/en/docs/http/ngx_http_hls_module.html

因此,只允许受信用户发布音频和视频文件。或者在NGINX配置中禁用HLS模块,直到升级至修复版本,可缓解此风险。


相关文章

2022-09-27

软件经验的专业人员确保政府和社区携手合作,并准备好应对 Log4j 漏洞等事件。此外,该立法要求管理和预算办公室 (OMB) 就开源软件的安全使用向联邦机构发布指导,并在 CISA 网络安全咨询委员会下设立软件安全小组委员会。

2021-12-24

、Ruby 或 Node 编写的客户应用程序的源代码。Wiz 团队将该漏洞命名为“NotLegit”,并指出这一漏洞自 2017 年 9 月以来就一直存在,很可能已经被利用。 Wiz 于 2021 年 10 月 7 日向微软报告了这个安全漏洞。微软方面在 12 月 7 日至

2022-10-26

主题为“大迁移”,统信软件聚焦用户在系统迁移、信创升级中遇到的实际问题。下面就让我们一起来感受本期技术开放日精彩的看点内容吧! 打卡探园·探寻统信18年成长之旅 一年一度的1024程序员节,自然不能少了大家喜闻

2022-03-21

地上流离失所的人们表示慰问。当世界各国政府决定如何应对这一侵略行为时,我们这些商业领域的人必须将乌克兰战争视为不仅仅是一个商业问题,而是一个道德上的需要。 我们 F5 公司坚定地支持乌克兰人民和他们作为一个

2022-10-15

程中出现法律和知识产权风险,保障开源软件运行环境、升级维护的安全。 4. 创新可控 提供降低贡献者门槛的措施,吸引贡献者参与,并不断优化贡献者参与机制和激励措施。孵化出UKUI、RISC-V、Virtualization等明星SIG组,已具

2021-12-24

之一。 对此,360CERT建议广大用户及时将Apache HTTP Server升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。 风险等级 360CERT 对该漏洞的评定结果如下 评定方式等级威胁等级高危影响面广泛

2022-04-01

可以通过下面的方法解决该漏洞的风险: Spring 5.3.x用户升级到5.3.18+ Spring 5.2.x用户升级到5.2.20+ Spring Boot 2.6.x用户升级到2.6.6+ Spring Boot 2.5.x用户升级到2.5.12+ 对于该漏洞的复习及更多细节,这里因为篇幅有限,就不具体介绍了。

2023-03-22

具体包括: 风险 描述 类别 OSS-RISK-1 已知漏洞 组件版本可能包含易受攻击的代码,由其开发人员意外引入。漏洞详细信息已公开,例如通过 CVE。漏洞和补丁可能可用也可能不可用。 Security OSS-RISK-2 合法包

2023-02-25

告指出,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,相较去年增加了近 4%。 2023 OSSRA 报告基于对并购交易中涉及的代码库的审计分析,共涉及 17 个行业。审计检查了 1481 个代码库的漏洞和开源许可合规性,另外 222 个

2023-04-01

行业高管和专家签署了一封公开信,呼吁所有 AI 实验室立即暂停对比 GPT-4 更强大的 AI 系统的训练至少 6 个月。并表示,这种暂停应该是公开的和可验证的,且包括所有关键参与者。如果不能迅速实施这种暂停,政府应介入并暂

2022-05-24

经有了一个设计得当的数据库模式,那么使用PostgREST可以立即构建出一个后端REST API服务,无需手工编写繁琐重复的增删改查逻辑,复杂的逻辑可以通过存储过程对外暴露。 PostgREST暴露的API提供了简单的JWT认证功能,虽然大多

2023-02-10

质上属于静态扫描,即通过 Trivy,Clair,雅客云 (Arksec) 等漏洞扫描器(scanner),对镜像进行由事件触发或周期性的扫描。静态扫描可检测到镜像文件中潜在的威胁,但部分有风险的镜像仍有可能通过扫描器的检测,并被部署到 K

2022-04-25

Check Point 的研究人员近日发现,开源的 ALAC 存在严重的漏洞,该漏洞允许攻击者在受影响的设备上进行远程代码执行(RCE)攻击。而联发科和高通这两大移动芯片制造商都在旗下的音频解码器中使用了相关代码。 根据市场研

2023-04-06

个月,马斯克等人联名发表公开信,呼吁所有 AI 实验室立即暂停训练比 GPT-4 更强大的 AI 系统,为期至少 6 个月,以确保人类能够有效管理其风险。两天后,意大利个人数据保护局宣布,暂时禁止 ChatGPT,并表示已对 ChatGPT 背后