更新 NGINX 以修复 MP4 和 HLS 视频流模块中的漏洞
今天,我们发布了 NGINX Plus、NGINX 开源、NGINX 开源订阅和 NGINX Ingress Controller 的更新,以应对最近发现的 NGINX 模块中用于 MP4 和 Apple HTTP Live Streaming (HLS) 格式的视频流、 ngx_http_mp4_module和ngx_http_hls_module中的漏洞。 (NGINX 开源订阅是特定地区提供的 NGINX 开源特别打包版本。)
这些漏洞已在通用漏洞和暴露 (CVE) 数据库中注册,并且F5 安全事件响应团队(F5 SIRT) 已使用通用漏洞评分系统(CVSS v3.1) 标准为其分配了分数。
MP4 模块 (ngx_http_mp4_module) 中的以下漏洞适用于 NGINX Plus、NGINX Open Source 和 NGINX Open Source Subscription。
- CVE-2022-41741 (内存损坏) – CVSS 评分 7.1(高)
- CVE-2022-41742 (内存泄露) ——CVSS 评分 7.0(高)
HLS 模块(ngx_http_hls_module)中的以下漏洞仅适用于 NGINX Plus。
- CVE-2022-41743 (内存损坏) – CVSS 评分 7.0(高)
以下软件版本包含针对这些漏洞的补丁:
- NGINX Plus R27 P1
- NGINX Plus R26 P1
- NGINX 开源 1.23.2(主线)
- NGINX 开源 1.22.1(稳定版)
- NGINX 开源订阅 R2 P1
- NGINX 开源订阅 R1 P1
- NGINX 入口控制器 2.4.1
- NGINX 入口控制器 1.12.5
NGINX Plus、NGINX 开源、NGINX 开源订阅和 NGINX Ingress Controller 的所有版本均受到影响。 我们强烈建议您将 NGINX 软件升级到最新版本。
有关 NGINX Plus 升级说明,请参阅 NGINX Plus 管理指南中的升级 NGINX Plus 。 NGINX Plus 客户还可以通过https://my.f5.com/联系我们的支持团队寻求帮助。
“这篇博文可能引用了不再可用和/或不再支持的产品。 有关 F5 NGINX 产品和解决方案的最新信息,请探索我们的NGINX 产品系列。 NGINX 现在是 F5 的一部分。 所有之前的 NGINX.com 链接都将重定向至 F5.com 上的类似 NGINX 内容。”