大工网安告[2022]045

一、情况分析

1.1漏洞背景

NGINX是一个开源的HTTP服务器、反向代理服务器、邮件代理服务器和通用TCP/UDP代理服务器。njs是nginScript的简称，是为了NGINX和NGINX Plus而开发的JavaScript实现，它被设计用于在服务器端处理请求。它通过融入JavaScript代码对NGINX的配置语法进行扩展，以便实现复杂的配置。nginScript同时支持HTTP和TCP/UDP两种协议，所以它的应用场景很广。而且NJS允许用户用脚本的方式给复杂业务场景下的流量负载添加处理逻辑，可以使得服务器性能得到优化和提升。近日，Nginx官方发布了安全公告，修复了存在于NJS中的一个存在段违规漏洞（cve-2022-43285）和一个存在UAF漏洞（CVE-2022-43286），建议用户更新NGINX NJS到最新的安全版本避免遭受攻击。

1.2漏洞详情

1. CVE-2022-43286 Nginx NJS存在UAF漏洞

该漏洞是由于njs_json.c类中的“njs_json_parse_iterator_call”方法允许Nginx NJS进行非法内存复制，从而导致基于堆的释放，恶意攻击者成功利用此漏洞可造成拒绝服务（DoS）或远程代码执行。

危害等级：高危

2. CVE-2022-43285 Nginx NJS存在段违规漏洞

该漏洞是由于在njs_promise.c类中的“njs_promise_reaction_job”函数存在分段违规漏洞，导致Nginx服务器无法处理接受的数据，恶意攻击者成功利用此漏洞可造成拒绝服务（DoS）。

危害等级：中危

二、影响范围

CVE-2022-43258：Nginx NJX < 0.7.8

CVE-2022-43256：Nginx NJX < 0.7.4

三、处置建议

  目前官方已修复该漏洞，请受影响用户尽快安装更新补丁，以免受到影响，官方链接：https://github.com/nginx/njs/tags

参考链接：http://nginx.org/