Nginx NJS UAF漏洞CVE-2022-43286
  • CNNVD編號(hào):未知
  • 危害等級(jí): 高危 
  • CVE編號(hào):CVE-2022-43286
  • 漏洞類型: UAF 漏洞(Use-After-Free)
  • 威脅類型:未知
  • 廠       商:未知
  • 漏洞來(lái)源:深信服
  • 發(fā)布時(shí)間:2023-03-20
  • 更新時(shí)間:2023-03-20

漏洞簡(jiǎn)介

2022年10月31日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則 Nginx 組件存在 UAF 漏洞的信息,漏洞編號(hào):CVE-2022-43286,漏洞威脅等級(jí):高危。

該漏洞是由于 Nginx NJS 組件存在堆 UAF 漏洞,攻擊者可利用該漏洞構(gòu)造惡意數(shù)據(jù)對(duì) njs_json_parse_iterator_call 函數(shù)進(jìn)行非法內(nèi)存復(fù)制,最終造成程序拒絕服務(wù)。

漏洞公示

暫無(wú)

參考網(wǎng)站

https://nvd.nist.gov/vuln/detail/CVE-2022-43286

受影響實(shí)體

目前受影響的 Nginx NJS 版本:

Nginx NJS < 0.7.4

補(bǔ)丁


解決方案

圖片

1.官方修復(fù)建議

當(dāng)前官方已發(fā)布受影響版本的對(duì)應(yīng)補(bǔ)丁,建議受影響的用戶及時(shí)更新官方的安全補(bǔ)丁。鏈接如下:

https://github.com/nginx/njs/commit/2ad0ea24a58d570634e09c2e58c3b314505eaa6a

圖片

2.深信服解決方案

2.1 主動(dòng)檢測(cè)

支持對(duì) Nginx NJS UAF漏洞 CVE-2022-43286的主動(dòng)檢測(cè),可批量快速檢出業(yè)務(wù)場(chǎng)景中該事件的受影響資產(chǎn)情況,相關(guān)產(chǎn)品如下:

【深信服云鏡YJ】預(yù)計(jì)2022年11月15日發(fā)布檢測(cè)方案。

【深信服漏洞評(píng)估工具TSS】預(yù)計(jì)2022年11月15日發(fā)布檢測(cè)方案。

【深信服安全托管服務(wù)MSS】預(yù)計(jì)2022年11月15日發(fā)布檢測(cè)方案。