nginx 1.1.19 < 1.28.3 / 1.29.x < 1.29.7 ngx_http_mp4_module の複数の脆弱性

high Nessus プラグイン ID 306675

Language:

概要

リモートのウェブサーバーは複数の脆弱性の影響を受けます。

説明

インストールされている nginx のバージョンは、 1.28.3より前の 1.1.19 、または 1.29.x1.29.7] より前のです。したがって、以下の複数の脆弱性による影響を受けます。

- NGINX Open Source の 32 ビット実装では、ngx_http_mp4_module モジュールに脆弱性があります。これにより、攻撃者が、特別に細工された MP4 ファイルを使用して、NGINX ワーカーメモリをオーバーリードまたはオーバーライトして、終了を引き起こす可能性があります。の問題は、32 ビット NGINX Open Source が ngx_http_mp4_module モジュールで構築され、mp4 ディレクティブが構成ファイルで使用される場合にのみ、32 ビット NGINX Open Source に影響を与えます。
また、この攻撃が可能になるのは、攻撃者が ngx_http_mp4_module モジュールで特別に細工された MP4 ファイルの処理をトリガできる場合のみです。注: テクニカルサポートの終了 (EoTS) に達したソフトウェアのバージョンは評価されていません。(CVE-2026-27784)

- NGINX Open Source および NGINX Plus には、ngx_http_mp4_module モジュールに脆弱性があります。これにより、攻撃者が、特別に細工された MP4 を使用して、NGINX ワーカーメモリへのバッファオーバーリードまたはオーバーライトを発生させ、終了またはコード実行を引き起こす可能性があります。ファイルです。この問題は、ngx_http_mp4_moduleモジュールでビルドされ、構成ファイルでmp4ディレクティブが使用される場合、NGINX Open SourceおよびNGINX Plusに影響を与えます。また、この攻撃が可能になるのは、攻撃者が ngx_http_mp4_module モジュールで特別に細工された MP4 ファイルの処理をトリガできる場合のみです。注意:
テクニカルサポートの終了 (EoTS) に達したソフトウェアのバージョンは評価されていません。
(CVE-2026-32647)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。