近日，华北1安全应急响应中心监控到nginx ngx_http_mp4_module组件存在内存泄露漏洞，会影响 MP4 模块，使得攻击者在恶意制作的 MP4 文件的帮助下，在 worker 进程中导致出现无限循环、崩溃或内存泄露状态。

漏洞编号

      CVE-2018-16845

漏洞名称

      nginx ngx_http_mp4_module组件内存泄露漏洞

漏洞危害等级

中危

漏洞描述

nginx是一款轻量级Web服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器。

Nginx 1.15.5及之前的版本和1.14.1版本中的ngx_http_mp4_module组件存在内存泄露漏洞，该漏洞源于程序未能正确处理MP4文件，会影响运行使用 ngx_http_mp4_module 构建的 nginx 版本并在配置文件中启用 mp4 选项的服务器。远程攻击者可利用该漏洞获取敏感信息或造成拒绝服务。

影响版本

Nginx nginx 1.1.3+

Nginx nginx 1.0.7+

Nginx nginx 1.14.1

Nginx nginx <=1.15.5

修复方案

厂商已发布漏洞修复程序，请及时关注更新：http://nginx.org/download/patch.2018.mp4.txt

北京华北1网络技术有限公司

2018/11/10