- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
威胁预警团队
2022/10/31
NGINX 是一个开源的 HTTP 服务器、反向代理服务器、邮件代理服务器和通用 TCP/UDP 代理服务器。njs是nginScript的简称,是为了 NGINX 和 NGINX Plus 而开发的 JavaScript 实现,它被设计用于在服务器端处理请求。它通过融入 JavaScript 代码对 NGINX 的配置语法进行扩展,以便实现复杂的配置。nginScript 同时支持 HTTP 和 TCP/UDP 两种协议,所以它的应用场景很广。而且NJS允许用户用脚本的方式给复杂业务场景下的流量负载添加处理逻辑,可以使得服务器性能得到优化和提升。近日,新华三攻防实验室威胁预警团队监测到Nginx官方发布了安全公告,修复了存在于NJS中的一个存在段违规漏洞(cve-2022-43285)和一个存在UAF漏洞(CVE-2022-43286),新华三攻防实验室建议用户更新NGINX NJS到最新的安全版本避免遭受攻击。
1. CVE-2022-43286 Nginx NJS存在UAF漏洞
该漏洞是由于njs_json.c类中的“njs_json_parse_iterator_call”方法允许Nginx NJS进行非法内存复制,从而导致基于堆的释放,恶意攻击者成功利用此漏洞可造成拒绝服务(DoS)或远程代码执行。
危害等级:高危
2. CVE-2022-43285 Nginx NJS存在段违规漏洞
该漏洞是由于在njs_promise.c类中的“njs_promise_reaction_job”函数存在分段违规漏洞,导致Nginx服务器无法处理接受的数据,恶意攻击者成功利用此漏洞可造成拒绝服务(DoS)。
危害等级:中危
CVE-2022-43258:
Nginx NJX < 0.7.8
CVE-2022-43256:
Nginx NJX < 0.7.4
使用白名单限制相关端口的访问
目前官方已修复该漏洞,请受影响用户尽快安装更新补丁,以免受到影响,官方链接: https://github.com/nginx/njs/tags
http://nginx.org/
产品与解决方案
