博客 | NGINX

更新 NGINX 以修复 MP4 和 HLS 视频流模块中的漏洞

NGINX-F5-horiz-black-type-RGB 的一部分
Prabhat Dixit 缩略图
帕拉巴特·迪克西特
2022 年 10 月 19 日发布

今天,我们发布了 NGINX Plus、NGINX 开源、NGINX 开源订阅和 NGINX Ingress Controller 的更新,以应对最近发现的 NGINX 模块中用于 MP4 和 Apple HTTP Live Streaming (HLS) 格式的视频流、 ngx_http_mp4_modulengx_http_hls_module中的漏洞。 (NGINX 开源订阅是特定地区提供的 NGINX 开源特别打包版本。)

这些漏洞已在通用漏洞和暴露 (CVE) 数据库中注册,并且F5 安全事件响应团队(F5 SIRT) 已使用通用漏洞评分系统(CVSS v3.1) 标准为其分配了分数。

MP4 模块 (ngx_http_mp4_module) 中的以下漏洞适用于 NGINX Plus、NGINX Open Source 和 NGINX Open Source Subscription。

HLS 模块(ngx_http_hls_module)中的以下漏洞仅适用于 NGINX Plus。

以下软件版本包含针对这些漏洞的补丁:

  • NGINX Plus R27 P1
  • NGINX Plus R26 P1
  • NGINX 开源 1.23.2(主线)
  • NGINX 开源 1.22.1(稳定版)
  • NGINX 开源订阅 R2 P1
  • NGINX 开源订阅 R1 P1
  • NGINX 入口控制器 2.4.1
  • NGINX 入口控制器 1.12.5

NGINX Plus、NGINX 开源、NGINX 开源订阅和 NGINX Ingress Controller 的所有版本均受到影响。 我们强烈建议您将 NGINX 软件升级到最新版本。

有关 NGINX Plus 升级说明,请参阅 NGINX Plus 管理指南中的升级 NGINX Plus 。 NGINX Plus 客户还可以通过https://my.f5.com/联系我们的支持团队寻求帮助。


“这篇博文可能引用了不再可用和/或不再支持的产品。 有关 F5 NGINX 产品和解决方案的最新信息,请探索我们的NGINX 产品系列。 NGINX 现在是 F5 的一部分。 所有之前的 NGINX.com 链接都将重定向至 F5.com 上的类似 NGINX 内容。”