CVE-2022-41742

Versões 1.23.2 e anteriores do NGINX Open Source, excluindo a versão 1.22.1 e posteriores

Versões 1.22.1 e anteriores do NGINX Open Source

Assinatura do NGINX Open Source anterior às versões R2 P1 e R1 P1

NGINX Plus anterior às versões R27 P1 e R26 P1

O problema afeta produtos NGINX compilados com o módulo ngx http mp4 module quando a diretiva mp4 é usada no arquivo de configuração. Um invasor local pode causar uma falha no processo de trabalho ou resultar na divulgação da memória do processo de trabalho usando um arquivo de áudio ou vídeo especialmente criado. O ataque só é possível se o invasor conseguir acionar o processamento de um arquivo de áudio ou vídeo especialmente criado com o módulo ngx http mp4 module. Isso pode permitir que um invasor divulgue informações protegidas ou cause uma negação de serviço.

Para as versões 1.23.2 e anteriores do NGINX Open Source, excluindo a versão 1.22.1 e posteriores: atualize para a versão 1.23.2 ou posterior.

Para as versões 1.22.1 e anteriores do NGINX Open Source: atualize para a versão 1.22.1 ou posterior.

Para assinaturas do NGINX Open Source anteriores às versões R2 P1 e R1 P1: atualize para a versão R2 P1 ou R1 P1 ou posterior.

Para o NGINX Plus anterior às versões R27 P1 e R26 P1: atualize para a versão R27 P1 ou R26 P1 ou posterior.

Como solução alternativa temporária, considere desativar o módulo ngx http mp4 module até que um patch esteja disponível. Restrinja o acesso à diretiva mp4 no arquivo de configuração para minimizar o risco de exploração. Evite usar o `m