遠端 Debian 11 主機上安裝的多個套件受到 dsa-5281 公告中提及的多個弱點影響。

  - 在 1.23.2 和 1.22.1 版之前的 NGINX Open Source、R2 P1 和 R1 P1 版之前的 NGINX Open Source Subscription，以及 R27 P1 和 R26 P1 版之前的 NGINX Plus 中，ngx_http_mp4_module 模組中有一個弱點允許本機攻擊者使用特製的音訊或視訊檔案損毀 NGINX 背景工作記憶體，導致其終止或可能造成其他影響。此問題只會影響以 ngx_http_mp4_module 構建且設定檔中使用 mp4 指令的 NGINX 產品。此外，只有在攻擊者能夠使用 ngx_http_mp4_module 觸發程式處理特製的 mp4 檔案時，才有可能發生此攻擊。(CVE-2022-41741)

  - 在 1.23.2 和 1.22.1 版之前的 NGINX Open Source、R2 P1 和 R1 P1 版之前的 NGINX Open Source Subscription，以及 R27 P1 和 R26 P1 版之前的 NGINX Plus 中，ngx_http_mp4_module 模組中有一個弱點允許本機攻擊者藉由使用特製的音訊或視訊檔案，來造成背景工作處理序損毀，或導致背景工作處理序記憶體洩漏。此問題只會影響以 ngx_http_mp4_module 模組構建且設定檔中使用 mp4 指令的 NGINX 產品。此外，只有在攻擊者能夠使用 ngx_http_mp4_module 觸發程式處理特製的 mp4 檔案時，才有可能發生此攻擊。(CVE-2022-41742)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Debian DSA-5281-1：nginx - 安全性更新

high Nessus Plugin ID 167747

版本 1.4

版本 1.3

版本 1.2

版本 1.4 Nov 2, 2023, 2:21 PM IAVM reference Plugin Feed: 202311021421
版本 1.3 Nov 24, 2022, 4:13 PM CVSS metrics ("CVSSv2 score" changed from "1.9" to "6.8") CVSS metrics ("CVSSv2 vector" changed from "CVSS2#AV:L/AC:M/Au:N/C:P/I:N/A:N" to "CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C") CVSSv2 score source (changed from "CVE-2022-41742" to "CVE-2022-41741") CVSSv2 severity (based on CVE-2022-41741, severity increased from "Low" to "Medium") Plugin Feed: 202211241613
版本 1.2 Nov 17, 2022, 1:52 AM New Plugin Feed: 202211170152