CVE-2022-41741

Versões 1.23.2 e 1.22.1 e anteriores do NGINX Open Source

Versões R2 P1 e R1 P1 e anteriores do NGINX Open Source Subscription

Versões R27 P1 e R26 P1 e anteriores do NGINX Plus

O problema está relacionado a uma vulnerabilidade de buffer-over-read no ngx http mp4 module dos produtos NGINX. Essa vulnerabilidade pode permitir que um invasor local corrompa a memória do worker do NGINX, resultando em seu encerramento ou em outros possíveis impactos, por meio do uso de um arquivo de áudio ou vídeo especialmente criado. O ataque só é possível se o invasor conseguir acionar o processamento de um arquivo de áudio ou vídeo especialmente criado com o ngx http mp4 module, e se a diretiva mp4 for usada no arquivo de configuração.

Para as versões 1.23.2 e 1.22.1 e anteriores do NGINX Open Source, atualize para a versão 1.23.2 ou 1.22.1 ou posterior.

Para as versões R2 P1 e R1 P1 e anteriores do NGINX Open Source Subscription, atualize para a versão R2 P1 ou R1 P1 ou posterior.

Para as versões R27 P1 e R26 P1 do NGINX Plus e anteriores, atualize para a versão R27 P1 ou R26 P1 ou posterior.

Como solução alternativa temporária, considere desativar o ngx http mp4 module até que um patch esteja disponível. Restrinja o acesso à diretiva mp4 no arquivo de configuração para minimizar o risco de exploração. Evite usar o ngx http mp4 module para processar arquivos de áudio ou vídeo até que o problema seja resolvido.