Aktualisieren von NGINX für Sicherheitslücken in den Video-Streaming-Modulen MP4 und HLS

Heute veröffentlichen wir Updates für NGINX Plus, NGINX Open Source, NGINX Open Source Subscription und NGINX Ingress Controller als Reaktion auf kürzlich entdeckte Schwachstellen in den NGINX-Modulen für Video-Streaming mit den Formaten MP4 und Apple HTTP Live Streaming (HLS), ngx_http_mp4_module und ngx_http_hls_module . (NGINX Open Source-Abonnement ist eine speziell verpackte Edition von NGINX Open Source, die in bestimmten Regionen verfügbar ist.)

Die Schwachstellen wurden in der CVE-Datenbank (Common Vulnerabilities and Exposures) registriert und das F5 Security Incident Response Team (F5 SIRT) hat ihnen anhand der Skala des Common Vulnerability Scoring System (CVSS v3.1) Punkte zugewiesen.

Die folgenden Schwachstellen im MP4-Modul (ngx_http_mp4_module) gelten für NGINX Plus, NGINX Open Source und NGINX Open Source Subscription.

• CVE-2022-41741 (Speicherbeschädigung) – CVSS-Score 7,1 (hoch)
• CVE-2022-41742 (Speicheroffenlegung) – CVSS-Score 7,0 (hoch)

Die folgende Sicherheitslücke im HLS-Modul (ngx_http_hls_module) betrifft nur NGINX Plus.

• CVE-2022-41743 (Speicherbeschädigung) – CVSS-Score 7,0 (hoch)

Patches für diese Schwachstellen sind in den folgenden Softwareversionen enthalten:

• NGINX Plus R27 P1
• NGINX Plus R26 P1
• NGINX Open Source 1.23.2 (Hauptlinie)
• NGINX Open Source 1.22.1 (stabil)
• NGINX Open Source-Abonnement R2 P1
• NGINX Open Source-Abonnement R1 P1
• NGINX Ingress Controller 2.4.1
• NGINX Ingress Controller 1.12.5

Betroffen sind alle Versionen von NGINX Plus, NGINX Open Source, NGINX Open Source Subscription und NGINX Ingress Controller. Wir empfehlen Ihnen dringend, Ihre NGINX-Software auf die neueste Version zu aktualisieren.

Anweisungen zum Upgrade von NGINX Plus finden Sie unter „Upgrade von NGINX Plus“ im NGINX Plus-Administratorhandbuch. NGINX Plus-Kunden können sich unter https://my.f5.com/ auch an unser Supportteam wenden, wenn sie Hilfe benötigen.