Các tác nhân độc hại có thể khai thác các lỗ hổng trong Nginx này để thực hiện truy cập dữ liệu nhạy cảm hoặc thực hiện các cuộc tấn công từ chối dịch vụ.
Điều kiện giới hạn của mô-đun ngx_http_mp4_module khi xử lý tệp MP4 là nguyên nhân gây ra lỗ hổng. Kẻ tấn công từ xa có khả năng khởi động một cuộc tấn công từ chối dịch vụ, gửi cho máy chủ một tệp đặc biệt, gây ra lỗi đọc ngoài giới hạn và truy cập nội dung của bộ nhớ trên hệ thống.
Các chuyên gia khuyên người dùng nên cập nhật bản vá từ trang web của Nginx.
Các phiên bản bị ảnh hưởng:
nginx: 1.23.0 – 1.23.1, 1.22.0, 1.21.0 – 1.21.6, 1.20.0 – 1.20.2, 1.19.0 – 1.19.10, 1.18.0, 1.17.0 – 1.17.10, 1.16.0 – 1.16.1, 1.15.0 – 1.15.12, 1.14.0 – 1.14.2, 1.12.0 – 1.12.2, 1.11.0 – 1.11.13, 1.13.0 – 1.13.12, 1.10. 0 – 1.10.3, 1.1.3 – 1.1.19, 1.0.7 – 1.0.15
Nguồn: https://www.securitynewspaper.com/