BLOG | NGINX

Aktualisieren von NGINX für Sicherheitslücken in den Video-Streaming-Modulen MP4 und HLS

NGINX-Teil-von-F5-horiz-schwarz-Typ-RGB
Prabhat Dixit Miniaturbild
Prabhat Dixit
Veröffentlicht am 19. Oktober 2022

Heute veröffentlichen wir Updates für NGINX Plus, NGINX Open Source, NGINX Open Source Subscription und NGINX Ingress Controller als Reaktion auf kürzlich entdeckte Schwachstellen in den NGINX-Modulen für Video-Streaming mit den Formaten MP4 und Apple HTTP Live Streaming (HLS), ngx_http_mp4_module und ngx_http_hls_module . (NGINX Open Source-Abonnement ist eine speziell verpackte Edition von NGINX Open Source, die in bestimmten Regionen verfügbar ist.)

Die Schwachstellen wurden in der CVE-Datenbank (Common Vulnerabilities and Exposures) registriert und das F5 Security Incident Response Team (F5 SIRT) hat ihnen anhand der Skala des Common Vulnerability Scoring System (CVSS v3.1) Punkte zugewiesen.

Die folgenden Schwachstellen im MP4-Modul (ngx_http_mp4_module) gelten für NGINX Plus, NGINX Open Source und NGINX Open Source Subscription.

Die folgende Sicherheitslücke im HLS-Modul (ngx_http_hls_module) betrifft nur NGINX Plus.

Patches für diese Schwachstellen sind in den folgenden Softwareversionen enthalten:

  • NGINX Plus R27 P1
  • NGINX Plus R26 P1
  • NGINX Open Source 1.23.2 (Hauptlinie)
  • NGINX Open Source 1.22.1 (stabil)
  • NGINX Open Source-Abonnement R2 P1
  • NGINX Open Source-Abonnement R1 P1
  • NGINX Ingress Controller 2.4.1
  • NGINX Ingress Controller 1.12.5

Betroffen sind alle Versionen von NGINX Plus, NGINX Open Source, NGINX Open Source Subscription und NGINX Ingress Controller. Wir empfehlen Ihnen dringend, Ihre NGINX-Software auf die neueste Version zu aktualisieren.

Anweisungen zum Upgrade von NGINX Plus finden Sie unter „Upgrade von NGINX Plus“ im NGINX Plus-Administratorhandbuch. NGINX Plus-Kunden können sich unter https://my.f5.com/ auch an unser Supportteam wenden, wenn sie Hilfe benötigen.


„Dieser Blogbeitrag kann auf Produkte verweisen, die nicht mehr verfügbar und/oder nicht mehr unterstützt werden. Die aktuellsten Informationen zu verfügbaren F5 NGINX-Produkten und -Lösungen finden Sie in unserer NGINX-Produktfamilie . NGINX ist jetzt Teil von F5. Alle vorherigen NGINX.com-Links werden auf ähnliche NGINX-Inhalte auf F5.com umgeleitet."