MP4 및 HLS 비디오 스트리밍 모듈의 취약점에 대한 NGINX 업데이트
오늘, MP4 및 Apple HTTP Live Streaming(HLS) 포맷을 사용하는 비디오 스트리밍을 위한 NGINX 모듈인 ngx_http_mp4_module과 ngx_http_hls_module 에서 최근 발견된 취약점에 대응하여 NGINX Plus, NGINX Open Source, NGINX Open Source Subscription, NGINX Ingress Controller에 대한 업데이트 를 출시합니다. (NGINX 오픈 소스 구독은 특정 지역에서 사용할 수 있는 NGINX 오픈 소스의 특별 패키지 버전입니다.)
해당 취약점은 CVE(Common Vulnerability and Exposures) 데이터베이스에 등록되었으며 F5 보안 사고 대응팀 (F5 SIRT)은 CVSS v3.1( Common Vulnerability Scoring System ) 척도를 사용하여 점수를 매겼습니다.
MP4 모듈(ngx_http_mp4_module)의 다음 취약점은 NGINX Plus, NGINX 오픈 소스 및 NGINX 오픈 소스 구독에 적용됩니다.
- CVE-2022-41741 (메모리 손상) – CVSS 점수 7.1(높음)
- CVE-2022-41742 (메모리 공개) – CVSS 점수 7.0(높음)
HLS 모듈(ngx_http_hls_module)의 다음 취약점은 NGINX Plus에만 적용됩니다.
- CVE-2022-41743 (메모리 손상) – CVSS 점수 7.0(높음)
이러한 취약점에 대한 패치는 다음 소프트웨어 버전에 포함되어 있습니다.
- NGINX 플러스 R27 P1
- NGINX 플러스 R26 P1
- NGINX 오픈 소스 1.23.2(메인라인)
- NGINX 오픈 소스 1.22.1(안정)
- NGINX 오픈소스 구독 R2 P1
- NGINX 오픈소스 구독 R1 P1
- NGINX Ingress 컨트롤러 2.4.1
- NGINX Ingress 컨트롤러 1.12.5
NGINX Plus, NGINX Open Source, NGINX Open Source Subscription 및 NGINX Ingress Controller의 모든 버전이 영향을 받습니다. NGINX 소프트웨어를 최신 버전으로 업그레이드하는 것을 적극 권장합니다.
NGINX Plus 업그레이드 지침은 NGINX Plus 관리자 가이드의 NGINX Plus 업그레이드를 참조하세요. NGINX Plus 고객은 https://my.f5.com/ 에서 지원팀에 문의하여 도움을 받을 수도 있습니다.
"이 블로그 게시물에는 더 이상 사용할 수 없거나 더 이상 지원되지 않는 제품이 참조될 수 있습니다. 사용 가능한 F5 NGINX 제품과 솔루션에 대한 최신 정보를 보려면 NGINX 제품군을 살펴보세요. NGINX는 이제 F5의 일부가 되었습니다. 이전의 모든 NGINX.com 링크는 F5.com의 유사한 NGINX 콘텐츠로 리디렉션됩니다."