nginx(CVE-2022-41741和41742) 漏洞修复

一、漏洞描述

在这里插入图片描述

近期Nginx安全发布几个中高危漏洞:CVE-2022-41741 (Memory Corruption) – CVSS score 7.1 (High)、CVE-2022-41742 (Memory Disclosure) – CVSS score 7.0 (High),上述是:MP4 流媒体模块(ngx_http_mp4_module)中的漏洞影响到 NGINX Plus、NGINX 开源版以及 NGINX 企阅版。

1)漏洞: CVE-2022-41741

NGINX 在 ngx_http_mp4_module 中有一个漏洞,可能允许攻击者破坏 NGINX。使用特制的 mp4 文件可以损坏 worker 进程(负责流量处理)的内存,导致其终止或潜在的其他影响。该问题仅影响启用了 ngx_http_mp4_module 模块并在配置文件中使用 mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

相关链接: NGINX ngx_http_mp4_module

漏洞影响: 一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。

修复建议: 强烈建议您将您的软件升级到最新版本。其中,nginx-1.22.1 稳定版和 nginx-1.23.2 主线版已发布,其中包括了针对 ngx_http_mp4_module (CVE-2022-41741, CVE-2022-41742) 中内存损坏和内存泄漏的修复补丁

缓解措施: ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或.m4a 文件扩展名。更多详情单击跳转参;默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。

2)漏洞: CVE-2022-41742

NGINX 在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文件致使 worker 进程出现内存泄露。该问题仅影响启用了 ngx_http_mp4_module 模块(默认不启用)并在配置文件中使用 .mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

相关链接:NGINX ngx_http_mp4_module

漏洞影响: 一次成功的利用可能允许一个攻击者破坏 NGINX 的 worker 进程,导致其中止或使其内存泄露。
缓解措施: ngx_http_mp4_module 模块为 MP4 文件提供伪流媒体的服务器侧支持,这些文件通常会使用 .mp4 .m4v 或 .m4a 文件扩展名。详情请见https://nginx.org/en/docs/http/ngx_http_mp4_module.html
注意:默认情况下, NGINX 开源版本不包含 MP4 模块,必须启用该模块才受影响。MP4 模块默认包含在 NGINX Plus 中。
综上所述,缓解措施为:只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块,直到升级至修复版本。

3)漏洞: CVE-2022-41743

NGINX Plus 的模块 ngx_http_hls_module 中存在一个漏洞,该漏洞可能允许本地攻击者破坏 NGINX 的工作进程内存,从而导致其崩溃或在使用特制的音频或视频文件时产生其他潜在的影响。**只有当配置文件中使用 hls 指令时,该问题才会影响 NGINX Plus。**此外,只有当攻击者可以触发使用模块 ngx_http_hls_module 对特制音频或视频文件进行 处理时,攻击才有可能成功。ngx_http_hls_module 模块为 MP4 和 MOV 媒体文件提供 HTTP 流媒体服务器端支持。这类文件通常具有 .mp4 .m4v .m4a .mov 或 .qt 的文件名扩展名。该模块支持 H.264 视频编解码器,AAC 和 MP3 音频编解码器。详情请见:ngx_http_hls_module

漏洞影响: 一次成功的利用可能允许一个本地攻击者破坏 NGINX 的 worker 进程,导致其中止或其他潜在的影响。

影响范围: CVE-2022-41743 (Memory Corruption) – CVSS score 7.0 (High) 在 HLS 流媒体模块(ngx_http_hls_module)中的漏洞只对 NGINX Plus 产生影响。

修复建议: 禁用ngx_http_hls_module 模块及相关配置

相关链接: NGINX ngx_http_mp4_moduleCVE Search漏洞修复参考

二、修复处理

1)漏洞: CVE-2022-41741/2修复

1、升级Nginx版本到1.23.2版本;介质安装参看:软件下载
yum -y install gcc gcc-c++ autoconf automake make pcre pcre-devel zlib zlib-devel
wget -k https://www.openssl.org/source/openssl-1.1.1t.tar.gz --no-check-certificate
./config
make & make install
echo “/usr/local/lib64/” >> /etc/ld.so.conf
ldconfig
vim nginx-1.23.4/auto/lib/openssl/conf #修改

39             CORE_INCS="$CORE_INCS $OPENSSL/.openssl/include"
40             CORE_DEPS="$CORE_DEPS $OPENSSL/.openssl/include/openssl/ssl.h"
41             CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libssl.a"
42             CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libcrypto.a"

/configure --prefix=/usr/local/nginx --with-http_ssl_module --with-openssl=system
make & make install
usr/local/nginx/sbin/nginx -v

2、禁用ngx_http_mp4_module

2)漏洞: CVE-2022-41743修复

1、禁用ngx_http_hls_module 模块及相关配置

2、升级NGINX Plus到最新版

### 解决阿里云 Docker 镜像加速器地址不通的方法 当遇到阿里云 Docker 镜像加速器地址不通的情况时,可以采取以下几个措施来排查并解决问题。 #### 检查网络连接状况 确认本地机器能够正常访问互联网。可以通过 `ping` 或者 `curl` 命令测试到公网的连通性。如果发现无法上网,则需先解决网络问题再继续尝试使用镜像加速器[^1]。 ```bash ping www.google.com ``` #### 更新DNS设置 有时 DNS 解析失败也会造成加速器域名解析错误从而导致不可达的现象。此时建议修改 `/etc/resolv.conf` 文件中的 nameserver 为公共 DNS 如 Google 的 8.8.8.8 或 Cloudflare 提供的 1.1.1.1 来改善这一情况: ```bash sudo echo 'nameserver 8.8.8.8' > /etc/resolv.conf ``` #### 更换其他可用区域下的加速链接 不同地区的服务器可能对于某些特定地域内的请求有更好的响应速度支持度。因此,在阿里云平台上查看是否有适用于当前地理位置的新版或替代性的镜像仓库 URL 可选,并按照官方文档说明更新配置文件 `/etc/docker/daemon.json` 中 registry-mirrors 字段的内容[^2]。 #### 清理旧缓存数据重试拉取命令 由于历史原因可能存在一些残留的数据影响到了新的下载过程,故而应当清理掉之前存在的层叠式的临时文件夹以及重新启动 Docker 守护程序之后再次发起 pull 请求验证效果如何: ```bash docker system prune -a sudo systemctl restart docker docker pull ubuntu:latest ``` #### 核实安全组策略允许外部流量进入ECS实例内部端口 假如是在 ECS 上部署的应用遇到了此类难题的话,那么还需要额外留意下所处 VPC 内的安全组规则里有没有开放必要的 TCP 端口号给外界访问权限,默认情况下应该是全部放行但是为了保险起见还是检查一遍比较好。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

羌俊恩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值