Hello! В модуле ngx_http_mp4_module были обнаружены две проблемы, которые позволяют с помощью специально созданного mp4-файла вызвать падение рабочего процесса, отправку клиенту части содержимого памяти рабочего процесса, а также потенциально могут иметь другие последствия (CVE-2022-41741, CVE-2022-41742).
Проблемам подвержен nginx, если он собран с модулем ngx_http_mp4_module (по умолчанию не собирается) и директива mp4 используется в конфигурационном файле. При этом атака возможна только в случае, если атакующий имеет возможность обеспечить обработку специально созданного mp4-файла с помощью модуля ngx_http_mp4_module. Проблемам подвержен nginx 1.1.3+, 1.0.7+. Проблемы исправлены в 1.23.2, 1.22.1. Патч, исправляющий проблемы, доступен тут: http://nginx.org/download/patch.2022.mp4.txt -- Maxim Dounin http://nginx.org/ _______________________________________________ nginx-ru mailing list -- nginx-ru@nginx.org To unsubscribe send an email to nginx-ru-le...@nginx.org
