BLOG | NGINX

Atualizando o NGINX para vulnerabilidades nos módulos de streaming de vídeo MP4 e HLS

NGINX-Parte-de-F5-horiz-preto-tipo-RGB
Miniatura de Prabhat Dixit
Prabhat Dixit
Publicado em 19 de outubro de 2022

Hoje, estamos lançando atualizações para NGINX Plus, NGINX Open Source, NGINX Open Source Subscription e NGINX Ingress Controller em resposta a vulnerabilidades descobertas recentemente nos módulos NGINX para streaming de vídeo com os formatos MP4 e Apple HTTP Live Streaming (HLS), ngx_http_mp4_module e ngx_http_hls_module . (A assinatura NGINX Open Source é uma edição especialmente empacotada do NGINX Open Source disponível em determinadas regiões.)

As vulnerabilidades foram registradas no banco de dados Common Vulnerabilities and Exposures (CVE) e a F5 Security Incident Response Team (F5 SIRT) atribuiu pontuações a elas usando a escala Common Vulnerability Scoring System (CVSS v3.1).

As seguintes vulnerabilidades no módulo MP4 (ngx_http_mp4_module) se aplicam ao NGINX Plus, NGINX Open Source e NGINX Open Source Subscription.

  • CVE-2022-41741 (Corrupção de memória) – pontuação CVSS 7.1 (Alta)
  • CVE-2022-41742 (Divulgação de memória) – pontuação CVSS 7,0 (alta)

A seguinte vulnerabilidade no módulo HLS (ngx_http_hls_module) se aplica somente ao NGINX Plus.

  • CVE-2022-41743 (Corrupção de memória) – pontuação CVSS 7.0 (Alta)

Patches para essas vulnerabilidades estão incluídos nas seguintes versões de software:

  • NGINX Plus R27 P1
  • NGINX Plus R26 P1
  • NGINX Open Source 1.23.2 (linha principal)
  • NGINX Open Source 1.22.1 (estável)
  • Assinatura de código aberto NGINX R2 P1
  • Assinatura de código aberto NGINX R1 P1
  • Controlador de entrada NGINX 2.4.1
  • Controlador de entrada NGINX 1.12.5

Todas as versões do NGINX Plus, NGINX Open Source, NGINX Open Source Subscription e NGINX Ingress Controller são afetadas. Recomendamos fortemente que você atualize seu software NGINX para a versão mais recente.

Para obter instruções de atualização do NGINX Plus, consulte Atualizando o NGINX Plus no Guia de administração do NGINX Plus. Os clientes do NGINX Plus também podem entrar em contato com nossa equipe de suporte para obter assistência em https://my.f5.com/ .

Leia mais postagens de blog sobre F5 NGINX›

"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."