nginx 缓冲区错误漏洞(CVE-2022-41741)修复

漏洞描述

Nginx是美国Nginx公司的一款轻量级Web服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器。

Nginx在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文件致使 worker 进程出现内存泄露。该问题仅影响启用了 ngx_http_mp4_module 模块（默认不启用）并在配置文件中使用 .mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。

修复建议

1、升级nginx（推荐）

升级nginx到最新版本

2、白名单或禁用MP4模块

只允许受信用户发布音频和视频文件,或者在 NGINX 配置中禁用 MP4 模块。

3、打补丁

厂商补丁:

目前厂商已发布升级补丁以修复漏洞,补丁获取链接：

http://nginx.org/download/patch.2022.mp4.txt