Welcome! Log In Create A New Profile

Advanced

[nginx-ru-announce] nginx security advisory (CVE-2024-7347)

Posted by F5SIRT 
В модуле ngx_http_mp4_module была обнаружена проблема, которая позволяет с помощью специально созданного mp4-файла вызвать падение рабочего процесса (CVE-2024-7347). Проблеме подвержен nginx, если он собран с модулем ngx_http_mp4_module (по умолчанию не собирается) и директива mp4 используется в конфигурационном файле. При этом атака возможна только в случае, если атакующий имеет возможность обеспечить обработку специально созданного mp4-файла с помощью модуля ngx_http_mp4_module.

Проблеме подвержен nginx 1.5.13+.
Проблема исправлена в 1.27.1, 1.26.2.

Патч, исправляющий проблему, доступен тут: https://nginx.org/download/patch.2024.mp4.txt

Спасибо Nils Bars за исходное сообщение о проблеме.
_______________________________________________
nginx-ru-announce mailing list
nginx-ru-announce@nginx.org
https://mailman.nginx.org/mailman/listinfo/nginx-ru-announce
Sorry, you do not have permission to post/reply in this forum.

Online Users

Guests: 120
Record Number of Users: 8 on April 13, 2023
Record Number of Guests: 500 on July 15, 2024
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready