PT-2024-5858 · Nginx+9 · Nginx Open Source+11
Nils Bars
·
Publicado
2024-08-14
·
Atualizado
2026-04-21
·
CVE-2024-7347
CVSS v4.0
5.7
Média
| Vetor | AV:L/AC:H/AT:P/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do NGINX Open Source e do NGINX Plus anteriores à 1.26.2
Versões do NGINX Open Source e do NGINX Plus anteriores à 1.27.1
Descrição
O problema está relacionado a uma vulnerabilidade de leitura excessiva de buffer no ngx http mp4 module, que pode permitir que um invasor leia além da capacidade da memória do worker do NGINX, resultando em seu encerramento, usando um arquivo mp4 especialmente criado. O problema afeta o NGINX apenas se ele for compilado com o ngx http mp4 module e a diretiva mp4 for usada no arquivo de configuração. Além disso, o ataque só é possível se um invasor conseguir acionar o processamento de um arquivo mp4 especialmente criado com o ngx http mp4 module.
Recomendações
Para as versões do NGINX Open Source e NGINX Plus anteriores à 1.26.2, atualize para a versão 1.26.2 ou posterior.
Para versões do NGINX Open Source e NGINX Plus anteriores à 1.27.1, atualize para a versão 1.27.1 ou posterior.
Como solução temporária, considere desativar o ngx http mp4 module até que um patch esteja disponível.
Restrinja o acesso à diretiva mp4 no arquivo de configuração para minimizar o risco de exploração.
Evite usar arquivos mp4 especialmente criados que possam acionar o processamento do ngx http mp4 module até que o problema seja resolvido.
Correção
Buffer Over-read
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Debian
Linuxmint
Nginx Open Source
Nginx Plus
Nginx
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu