MP4 および HLS ビデオストリーミング モジュールの脆弱性に対する NGINX の更新
本日、MP4 および Apple HTTP Live Streaming (HLS) 形式のビデオ ストリーミング用の NGINX モジュール ngx_http_mp4_module およびngx_http_hls_moduleに最近発見された脆弱性に対応して、NGINX Plus、NGINX Open Source、NGINX Open Source Subscription、および NGINX Ingress Controller のアップデートをリリースします。 (NGINX オープンソース サブスクリプションは、特定の地域で利用可能な NGINX オープンソースの特別パッケージ版です。)
これらの脆弱性は Common Vulnerabilities and Exposures (CVE) データベースに登録されており、 F5 セキュリティ インシデント レスポンス チーム(F5 SIRT) がCommon Vulnerability Scoring System (CVSS v3.1) スケールを使用してスコアを割り当てています。
MP4 モジュール (ngx_http_mp4_module) の次の脆弱性は、NGINX Plus、NGINX Open Source、および NGINX Open Source Subscription に適用されます。
- CVE-2022-41741 (メモリ破損) – CVSS スコア 7.1 (高)
- CVE-2022-41742 (メモリ漏洩) – CVSS スコア 7.0 (高)
HLS モジュール (ngx_http_hls_module) の次の脆弱性は、NGINX Plus にのみ適用されます。
- CVE-2022-41743 (メモリ破損) – CVSS スコア 7.0 (高)
これらの脆弱性に対するパッチは、次のソフトウェア バージョンに含まれています。
- NGINX Plus R27 P1
- NGINX Plus R26 P1
- NGINX オープンソース 1.23.2 (メインライン)
- NGINX オープンソース 1.22.1 (安定版)
- NGINX オープンソース サブスクリプション R2 P1
- NGINX オープンソース サブスクリプション R1 P1
- NGINX イングレス コントローラー 2.4.1
- NGINX イングレス コントローラー 1.12.5
NGINX Plus、NGINX Open Source、NGINX Open Source Subscription、および NGINX Ingress Controller のすべてのバージョンが影響を受けます。 NGINX ソフトウェアを最新バージョンにアップグレードすることを強くお勧めします。
NGINX Plus のアップグレード手順については、NGINX Plus 管理者ガイドの「NGINX Plus のアップグレード」を参照してください。 NGINX Plus のお客様は、 https://my.f5.com/からサポート チームに問い合わせることもできます。
「このブログ投稿には、入手できなくなった製品やサポートされなくなった製品が参照されている場合があります。 利用可能な F5 NGINX 製品およびソリューションに関する最新情報については、 NGINX 製品ファミリーをご覧ください。 NGINX は現在 F5 の一部です。 以前の NGINX.com リンクはすべて、F5.com の同様の NGINX コンテンツにリダイレクトされます。"