Hoy lanzamos actualizaciones para NGINX Plus, NGINX Open Source, NGINX Open Source Subscription y NGINX Ingress Controller en respuesta a vulnerabilidades recientemente descubiertas en los módulos NGINX para transmisión de video con los formatos MP4 y Apple HTTP Live Streaming (HLS), ngx_http_mp4_module y ngx_http_hls_module . (La suscripción de código abierto NGINX es una edición especialmente empaquetada de NGINX de código abierto disponible en ciertas geografías).
Las vulnerabilidades se han registrado en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE) y el Equipo de Respuesta a Incidentes de Seguridad de F5 (F5 SIRT) les ha asignado puntuaciones utilizando la escala del Sistema de Puntuación de Vulnerabilidades Comunes (CVSS v3.1).
Las siguientes vulnerabilidades en el módulo MP4 (ngx_http_mp4_module) se aplican a NGINX Plus, NGINX Open Source y NGINX Open Source Subscription.
La siguiente vulnerabilidad en el módulo HLS (ngx_http_hls_module) se aplica únicamente a NGINX Plus.
Los parches para estas vulnerabilidades están incluidos en las siguientes versiones de software:
Todas las versiones de NGINX Plus, NGINX Open Source, NGINX Open Source Subscription y NGINX Ingress Controller se ven afectadas. Le recomendamos encarecidamente que actualice su software NGINX a la última versión.
Para obtener instrucciones sobre la actualización de NGINX Plus, consulte Actualización de NGINX Plus en la Guía de administración de NGINX Plus. Los clientes de NGINX Plus también pueden contactar a nuestro equipo de soporte para obtener ayuda en https://my.f5.com/ .
"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.