原文作者:NGINX
原文链接:立刻降级 NGINX 以应答破绽危险
转载起源:NGINX 开源社区
今日,咱们公布了针对 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 的更新,以应答最近在 NGINX 模块 ngx\_http\_mp4\_module 及 ngx\_http\_hls\_module 中发现的破绽—— 这两个模块用于以 MP4 以及 Apple HTTP Live Streaming (HLS) 格局进行视频流媒体解决。
根本信息
已发现的破绽均曾经上报到通用破绽披露(CVE),F5 的平安应急小组(SIRT)也已依据通用破绽评分零碎(CVSS v3.1)对这些破绽进行评分。
下列在 MP4 流媒体模块(ngx\_http\_mp4_module)中的破绽影响到 NGINX Plus、NGINX 开源版以及 NGINX 企阅版。
- CVE-2022-41741 (Memory Corruption) – CVSS score 7.1 (High)
- CVE-2022-41742 (Memory Disclosure) – CVSS score 7.0 (High)
下列在 HLS 流媒体模块(ngx\_http\_hls_module)中的破绽只对 NGINX Plus 产生影响。
- CVE-2022-41743 (Memory Corruption) – CVSS score 7.0 (High)
针对以上破绽的相干补丁蕴含在以下软件版本中:
- NGINX Plus R27 P1
- NGINX Plus R26 P1
- NGINX 开源版 1.23.2(主线版)
- NGINX 开源版 1.22.1(稳定版)
- NGINX 企阅版 R2 P1
- NGINX 企阅版 R1 P1
- NGINX Ingress Controller 2.4.1
- NGINX Ingress Controller 1.12.5
立刻降级
所有版本的 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 均受影响,故 咱们强烈建议您将您的软件降级到最新版本。
NGINX 开源版用户
nginx-1.22.1 稳定版和 nginx-1.23.2 主线版已公布,其中包含了针对 ngx\_http\_mp4_module (CVE-2022-41741, CVE-2022-41742) 中内存损坏和内存透露的修复补丁。
下载地址:http://nginx.org/#2022-10-19
NGINX Plus 用户
请查阅 NGINX Plus Admin Guide 中的 Upgrading NGINX Plus 一节理解降级步骤。
https://docs.nginx.com/nginx/admin-guide/installing-nginx/installing-nginx-plus/#upgrading-nginx-plus
NGINX Plus 客户还能够分割咱们的售后反对团队,以获取进一步的帮忙。
https://my.f5.com/
NGINX 企阅版用户
请查阅产品文档中的降级阐明理解降级步骤。
https://docs.nginx-cn.net/nginx-oss-sub/installation#upgrading-nginx-open-source-subscription
NGINX 企阅版客户还能够分割咱们的售后反对团队,以获取进一步的帮忙。
https://my.f5.com/
破绽信息
破绽: CVE-2022-41741
NGINX ngx\_http\_mp4_module
https://support.f5.com/csp/article/K81926432
NGINX 在 ngx\_http\_mp4\_module 中有一个破绽,可能容许攻击者毁坏 NGINX。应用特制的 mp4 文件能够损坏 worker 过程(负责流量解决)的内存,导致其终止或潜在的其余影响。该问题仅影响启用了 ngx\_http\_mp4\_module 模块并在配置文件中应用 mp4 指令的 NGINX。此外,只有当攻击者可能触发应用 ngx\_http\_mp4_module 对特制 mp4 文件的进行解决时,攻打才有可能胜利。
破绽影响
一次胜利的利用可能容许一个本地攻击者毁坏 NGINX 的 worker 过程,导致其中止或其余潜在的影响。
缓解措施
ngx\_http\_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧反对,这些文件通常会应用 .mp4 .m4v 或.m4a 文件扩展名。详情请见 https://nginx.org/en/docs/http/ngx\_http\_mp4_module.html
留神:默认状况下,NGINX 开源版本不蕴含 MP4 模块,必须启用该模块才受影响。MP4 模块默认蕴含在 NGINX Plus 中。
综上所述,缓解措施为:只容许受信用户公布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到降级至修复版本。
破绽: CVE-2022-41742
NGINX ngx\_http\_mp4_module
https://support.f5.com/csp/article/K28112382
NGINX 在 ngx\_http\_mp4\_module 中存在破绽,这可能容许攻击者激发 worker 过程的解体,或者通过应用特制的 mp4 文件以致 worker 过程呈现内存泄露。该问题仅影响启用了 ngx\_http\_mp4\_module 模块(默认不启用)并在配置文件中应用 .mp4 指令的 NGINX。此外,只有当攻击者可能触发应用 ngx\_http\_mp4_module 对特制 mp4 文件的进行解决时,攻打才有可能胜利。
破绽影响
一次胜利的利用可能容许一个攻击者毁坏 NGINX 的 worker 过程,导致其中止或使其内存泄露。
缓解措施
ngx\_http\_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧反对,这些文件通常会应用 .mp4 .m4v 或 .m4a 文件扩展名。详情请见 https://nginx.org/en/docs/http/ngx\_http\_mp4_module.html
留神:默认状况下,NGINX 开源版本不蕴含 MP4 模块,必须启用该模块才受影响。MP4 模块默认蕴含在 NGINX Plus 中。
综上所述,缓解措施为:只容许受信用户公布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到降级至修复版本。
破绽: CVE-2022-41743
NGINX ngx\_http\_mp4_module
https://support.f5.com/csp/article/K01112063
NGINX Plus 的模块 ngx\_http\_hls_module 中存在一个破绽,该破绽可能容许本地攻击者毁坏 NGINX 的工作过程内存,从而导致其解体或在应用特制的音频或视频文件时产生其余潜在的影响。只有当配置文件中应用 hls 指令时,该问题才会影响 NGINX Plus。
此外,只有当攻击者能够触发应用模块 ngx\_http\_hls_module 对特制音频或视频文件进行 解决时,攻打才有可能胜利。
破绽影响
一次胜利的利用可能容许一个本地攻击者毁坏 NGINX 的 worker 过程,导致其中止或其余潜在的影响。
缓解措施
ngx\_http\_hls_module 模块为 MP4 和 MOV 媒体文件提供 HTTP 流媒体服务器端反对。这类文件通常具备 .mp4 .m4v .m4a .mov 或 .qt 的文件名扩展名。该模块反对 H.264 视频编解码器,AAC 和 MP3 音频编解码器。详情请见 https://nginx.org/en/docs/http/ngx\_http\_hls_module.html
因而,只容许受信用户公布音频和视频文件。或者在 NGINX 配置中禁用 HLS 模块,直到降级至修复版本,可缓解此危险。
更多资源
想要更及时全面地获取 NGINX 相干的技术干货、互动问答、系列课程、流动资源?
请返回 NGINX 开源社区:
- 官网:https://www.nginx.org.cn/
- 微信公众号:https://mp.weixin.qq.com/s/XVE5yvDbmJtpV2alsIFwJg
- 微信群:https://www.nginx.org.cn/static/pc/images/homePage/QR-code.png?v=1621313354
- B 站:https://space.bilibili.com/628384319