2022-10-19
今日,我们发布了针对 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 的更新,以应对最近在 NGINX 模块 ngx_http_mp4_module 及 ngx_http_hls_module 中发现的漏洞——这两个模块用于使用 MP4 以及 Apple HTTP Live Streaming (HLS) 格式进行视频流媒体处理。
已发现的漏洞均已经上报到 通用漏洞披露(CVE),F5 的安全应急小组(SIRT)也已根据通用漏洞评分系统(CVSS v3.1)对这些漏洞进行评分。
下列在 MP4 流媒体模块(ngx_http_mp4_module)中的漏洞影响到 NGINX Plus、NGINX 开源版以及 NGINX 企阅版。
- CVE-2022-41741 (Memory Corruption) – CVSS score 7.1 (High)
- CVE-2022-41742 (Memory Disclosure) – CVSS score 7.0 (High)
下列在 HLS 流媒体模块(ngx_http_hls_module)中的漏洞只对 NGINX Plus 产生影响。
- CVE-2022-41743 (Memory Corruption) – CVSS score 7.0 (High)
针对以上漏洞的相关补丁包含在以下软件版本中:
- NGINX Plus R27 P1
- NGINX Plus R26 P1
- NGINX 开源版 1.23.2(主线版)
- NGINX 开源版 1.22.1(稳定版)
- NGINX 企阅版 R2 P1
- NGINX 企阅版 R1 P1
- NGINX Ingress Controller 2.4.1
- NGINX Ingress Controller 1.12.5
所有版本的 NGINX Plus、NGINX 开源版、NGINX 企阅版以及 NGINX Ingress Controller 均受影响,故我们强烈建议您将您的软件升级到最新版本。
NGINX Plus 用户请查阅 NGINX Plus Admin Guide 中的 Upgrading NGINX Plus 一节了解升级步骤。NGINX Plus 客户还可以联系我们的售后支持团队,以获取进一步的帮助。
