Коллеги, если раздаете через nginx видео, то срочно обновляемся. Вчера была опубликована CVE-2022-41742 про ngx_http_mp4_module, которая может позволить локальному злоумышленнику вызвать сбой рабочего процесса или может привести к раскрытию памяти рабочего процесса с помощью специально созданного аудио- или видеофайла. Проблема затрагивает только продукты NGINX, собранные с модулем ngx_http_mp4_module, когда в файле конфигурации используется директива mp4. Далее атака возможна только в том случае, если злоумышленник сможет инициировать обработку специально созданного аудио- или видеофайла с помощью модуля ngx_http_mp4_module.
Если хотите узнать как сервис "Felix" или наши партнеры, проверяющие код и сервера, сможем вас защищать, напишите нам в чат!