漏洞描述
Nginx 是一款轻量级的Web服务器、反向代理服务器。
Nginx 的受影响版本中的ngx_http_mp4_module模块存在内存越界写入漏洞,当在配置中使用 mp4 directive时,攻击者可利用此漏洞使用使用ngx_http_mp4_module模块处理特制的音频或视频文件时导致损坏Nginx worker 内存,进而导致 Nginx 工作进程终止或内存泄露。
| 漏洞名称 | Nginx ngx_http_mp4_module 内存越界写入漏洞 |
|---|---|
| 漏洞类型 | 跨界内存写 |
| 发现时间 | 2022-10-19 |
| 漏洞影响广度 | 一般 |
| MPS编号 | MPS-2022-58326 |
| CVE编号 | CVE-2022-41741 |
| CNVD编号 | - |
影响范围
NGINX Ingress Controller@[2.0.0, 2.4.1)
NGINX Open Source@[1.1.3, 1.22.1)
NGINX Open Source@[1.23.0, 1.23.2)
NGINX Open Source Subscription@[R1, R1 P1)
NGINX Open Source Subscription@[R2, R2 P1)
NGINX Plus@[R22, R26 P1)
NGINX Plus@[R27, R27 P1)
NGINX Ingress Controller@[1.9.0, 1.12.5)
nginx@(-∞, 1.22.1)
nginx@[1.23.0, 1.23.2)
修复方案
将组件 NGINX Open Source Subscription 升级至 R1 P1 及以上版本
将组件 NGINX Plus 升级至 R27 P1 及以上版本
将组件 NGINX Ingress Controller 升级至 1.12.5 及以上版本
将组件 nginx 升级至 1.22.1 及以上版本
将组件 NGINX Ingress Controller 升级至 2.4.1 及以上版本
将组件 NGINX Open Source 升级至 1.22.1 及以上版本
将组件 NGINX Open Source 升级至 1.23.2 及以上版本
将组件 NGINX Open Source Subscription 升级至 R2 P1 及以上版本
将组件 NGINX Plus 升级至 R26 P1 及以上版本
将组件 nginx 升级至 1.23.2 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-58326
https://nvd.nist.gov/vuln/detail/CVE-2022-41741
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
