nginx 1.1.x < 1.23.2 / 1.0.x < 1.22.1 メモリ漏洩

high Nessus プラグイン ID 166545

概要

リモート Webサーバーは、メモリ漏洩の脆弱性の影響を受けます。

説明

サーバーの応答ヘッダーによると、インストールされている nginx のバージョンは 1.22.1 より前の 1.0.x、あるいは 1.23.2 より前の 1.1.x です。したがって、ngx_http_mp4_module のメモリ漏洩の影響を受け、攻撃者がワーカープロセスのクラッシュまたはワーカープロセスのメモリ漏洩を引き起こす可能性があります。この問題は、ngx_http_mp4_module (このモジュールはデフォルトで構築されない) を使用して構築され、「mp4」ディレクティブが構成ファイルで使用されている場合にのみ、nginx に影響を与えます。
さらに、攻撃者が ngx_http_mp4_module を使用して特別に細工した mp4 ファイルの処理をトリガーできる場合にのみ、攻撃が可能です。

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

nginx 1.22.1 または 1.23.2 以降にアップグレードしてください。

関連情報

http://nginx.org/download/patch.2022.mp4.txt

http://www.nessus.org/u?fd7e4ded

プラグインの詳細

深刻度: High

ID: 166545

ファイル名: nginx-CVE-2022-41742.nasl

バージョン: 1.4

タイプ: combined

エージェント: unix

ファミリー: Web Servers

公開日: 2022/10/26

更新日: 2022/11/28

構成: パラノイドモードの有効化

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

Base Score: 6.8

Temporal Score: 5

ベクトル: CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C

現状ベクトル: CVSS2#E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2022-41741

CVSS v3

リスクファクター: High

Base Score: 7.8

Temporal Score: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:2.3:a:nginx:nginx:*:*:*:*:*:*:*:*

必要な KB アイテム: Settings/ParanoidReport, installed_sw/nginx

エクスプロイトの容易さ: No known exploits are available

参照情報

CVE: CVE-2022-41742, CVE-2022-41741

IAVA: 2022-A-0440