Maxim Dounin
October 19, 2022 08:44AM
Hello!

В модуле ngx_http_mp4_module были обнаружены две проблемы, которые
позволяют с помощью специально созданного mp4-файла вызвать
падение рабочего процесса, отправку клиенту части содержимого памяти
рабочего процесса, а также потенциально могут иметь другие последствия
(CVE-2022-41741, CVE-2022-41742).

Проблемам подвержен nginx, если он собран с модулем ngx_http_mp4_module
(по умолчанию не собирается) и директива mp4 используется в
конфигурационном файле. При этом атака возможна только в случае, если
атакующий имеет возможность обеспечить обработку специально созданного
mp4-файла с помощью модуля ngx_http_mp4_module.

Проблемам подвержен nginx 1.1.3+, 1.0.7+.
Проблемы исправлены в 1.23.2, 1.22.1.

Патч, исправляющий проблемы, доступен тут:

http://nginx.org/download/patch.2022.mp4.txt


--
Maxim Dounin
http://nginx.org/
_______________________________________________
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-leave@nginx.org
Subject Author Posted

nginx security advisory (CVE-2022-41741, CVE-2022-41742)

Maxim Dounin October 19, 2022 08:44AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 164
Record Number of Users: 8 on April 13, 2023
Record Number of Guests: 500 on July 15, 2024
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready