Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a NGINX, que permitirían a un atacante realizar divulgación de información, denegación de servicios (DoS) y ejecución arbitraria de código en el sistema afectado.
Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Alta”. Las cuales se detallan a continuación:
- CVE-2022-41741 y CVE-2022-41742, ambas de severidad “alta” y puntuación asignada de 7.8. y de 7.1. Estas vulnerabilidades se deben a una falla en el archivo de configuración del módulo ngx_http_mp4_module de Nginx. Un atacante local podría dañar la memoria gestionada por NGINX provocando denegación de servicio (DoS), divulgación de información o ejecución de código al procesar un archivo MP4 con formato incorrecto.
- CVE-2021-3618, de severidad “alta” y puntuación asignada de 7.4. Esta vulnerabilidad conocida como ALPACA, se debe a una confusión de contenido en el protocolo de capa de aplicación de servidores TLS. Un atacante podría obtener acceso a la capa TCP/IP de la víctima y redirigir el tráfico de un subdominio a otro, poniendo en peligro al sistema afectado.
Nota: Estas son explotables si el módulo ngx_http_mp4_module se encuentra habilitado en el servidor de NGINX.
Los productos afectados son:
- NGINX Open Source, versiones anteriores a 1.23.2 y 1.22.1.
- NGINX Open Source Subscription, versiones anteriores a R2 P1 y R1 P1.
- NGINX Plus, versiones anteriores a R27 P1 y R26 P1.
Puede acceder al listado completo de vulnerabilidades en los siguientes enlaces:
- https://security-tracker.debian.org/tracker/CVE-2022-41741
- https://security-tracker.debian.org/tracker/CVE-2022-41742
- https://security-tracker.debian.org/tracker/CVE-2021-3618
Recomendamos instalar las actualizaciones correspondientes provistas por NGINX en el siguiente enlace:
Referencias:
- https://lists.debian.org/debian-lts-announce/2022/11/msg00031.html
- https://nvd.nist.gov/vuln/detail/CVE-2022-41741
- https://nvd.nist.gov/vuln/detail/CVE-2022-41742
- https://nvd.nist.gov/vuln/detail/CVE-2021-3618
- https://www.debian.org/lts/security/2022/dla-3203.en.html
- https://security-tracker.debian.org/tracker/CVE-2022-41741
- https://security-tracker.debian.org/tracker/CVE-2022-41742
- https://security-tracker.debian.org/tracker/CVE-2021-3618
- http://nginx.org/en/download.html