注册    登录
创作新主题
社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
分享
问与答   闲聊   招聘   翻译   创业   分享发现   分享创造   求职   区块链   支付之战  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
关注
Py学习  »  NGINX

安全通告:NGINX HTTP/3 QUIC漏洞

OSC开源社区 • 8 月前 • 146 次点击  




F5 于昨晚发布了特别安全通告,涉及四个与 NGINX HTTP/3 QUIC 模块相关的中级数据面 CVE 漏洞,其中三个为 DoS 攻击类型风险,一个为随机信息泄漏风险,影响皆为允许未经身份认证的用户通过构造请求实施攻击。

受影响版本:
- NGINX 开源版 1.25.0 - 1.26.0
- NGINX Plus R30 - R31

目前 F5 已发布针对 NGINX 开源版和 NGINX Plus 的修复程序,请 NGINX 开源版用户以及 NGINX Plus 客户将软件更新到安全公告中的版本,或禁用 HTTP/3 QUIC 模块以避免造成负面影响。

修复版本:
- NGINX 开源版(稳定版)1.26.1
- NGINX 开源版(主线版)1.27.0
- NGINX Plus R32
- NGINX 企阅版 R6 P2

需要注意的是,ngx_http_v3_module 对于 NGINX 开源版来说不是默认编译组件,而对于 NGINX Plus R30 以上版本则为默认编译组件。请用户自行检查是否编译了 ngx_http_v3_module 模块且配置并启用了HTTP/3 QUIC功能。如未使用该功能,则不受影响。

NGINX 企业客户如需帮助,可联系您的销售代表或 F5 售后支持团队,为您评估这些漏洞对您的影响并协助进行问题修复。

NGINX 社区用户如需帮助,请微信添加小 N 助手(微信号:nginxoss)加入官方社区群,或邮件发送您的用例至 contactme_nginxapac@f5.com 以寻求商业支持服务。

下文请见四个安全漏洞的详细信息,点击文末“阅读原文前往 F5 官网查看与本通告相关的更多信息(英文)。



CVE-2024-31079


► 风险描述

当 NGINX Plus 或 NGINX 开源版配置为使用 HTTP/3 QUIC 模块时,未披露的 HTTP/3 请求会导致 NGINX 工作进程终止或造成其他潜在影响。这种攻击要求在连接耗尽过程中对请求进行特定计时,而攻击者对此没有可见性,影响也有限。

注意:此问题会影响使用 
ngx _http_v3_module 模块编译的 NGINX 系统,且其配置包含启用了 QUIC 选项的侦听指令。HTTP/3 QUIC 模块被视为一项实验功能,在 NGINX 开源版中默认不编译,但在 NGINX Plus 中默认编译。

► 漏洞影响

当工作进程重新启动时,客户端流量可能会中断。该漏洞允许未经身份验证的远程攻击者造成拒绝服务(DoS)或其他潜在影响。

This issue has been classified as CWE-121: Stack-based Buffer Overflow.

► 缓解措施

建议您升级到修复的软件版本,以完全缓解此漏洞。如果此时无法升级,可以在 NGINX 配置中禁用 HTTP/3 模块。有关详细信息,请参阅 ngx_http_v3_module 模块页面。



CVE-2024-32760


► 风险描述

当 NGINX Plus 或 NGINX 开源版配置为使用 HTTP/3 QUIC 模块时,未披露的 HTTP/3 编码器指令可能会导致 NGINX 工作进程终止或造成其他潜在影响。

注意:此问题会影响使用 
ngx _http_v3_module 模块编译的 NGINX 系统,且其配置包含启用了 QUIC 选项的侦听指令。HTTP/3 QUIC 模块被视为一项实验功能,在 NGINX 开源版中默认不编译,但在 NGINX Plus 中默认编译。

► 漏洞影响

当工作进程重新启动时,客户端流量可能会中断。利用该漏洞,未经身份验证的远程攻击者可导致拒绝服务(DoS)或其他潜在影响。

This issue has been classified as CWE-787: Out-of-bounds Write.

► 缓解措施

建议您升级到修复的软件版本,以完全缓解此漏洞。如果此时无法升级,可以在 NGINX 配置中禁用 HTTP/3 模块。有关详细信息,请参阅 ngx_http_v3_module 模块页面。



CVE-2024-35200




► 风险描述

当 NGINX Plus 或 NGINX 开源版被配置为使用 HTTP/3 QUIC 模块时,未披露的 HTTP/3 请求会导致 NGINX 工作进程终止。

注意:此问题会影响使用 
ngx _http_v3_module 模块编译的 NGINX 系统,且其配置包含启用了 QUIC 选项的侦听指令。HTTP/3 QUIC 模块被视为一项实验功能,在 NGINX 开源版中默认不编译,但在 NGINX Plus 中默认编译。

► 漏洞影响



当工作进程重新启动时,客户端流量可能会中断。利用此漏洞,未经身份验证的远程攻击者可导致拒绝服务(DoS)。

This issue has been classified as CWE-476: NULL Pointer Dereference.


► 缓解措施

建议您升级到修复的软件版本,以完全缓解此漏洞。如果此时无法升级,可以在 NGINX 配置中禁用 HTTP/3 模块。有关详细信息,请参阅ngx_http_v3_module 模块页面。



CVE-2024-34161



► 风险描述

当 NGINX Plus 或 NGINX 开源版被配置为使用 HTTP/3 QUIC 模块,且网络基础架构支持 4096 或更大的最大传输单元 (MTU)(无分片)时,未披露的 QUIC 数据包会导致 NGINX 工作进程泄漏先前释放的内存。
注意:此问题会影响使用 
ngx _http_v3_module 模块编译的 NGINX 系统,且其配置包含启用了 QUIC 选项的侦听指令。HTTP/3 QUIC 模块被视为一项实验功能,在 NGINX 开源版中默认不编译,但在 NGINX Plus 中默认编译。

► 漏洞影响


此漏洞允许未经身份验证的远程攻击者获取先前释放的内存信息。可能泄漏的内存是随机的,攻击者无法控制,并且该内存信息的范围不包括 NGINX 配置或私钥。

This issue has been classified as CWE-416 Use After Free."



► 缓解措施

建议您升级到修复的软件版本,以完全缓解此漏洞。如果此时无法升级,请确保网络基础设施只允许小于 4096 的最大传输单元 (MTU)。


Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/170767
Reply
 
146 次点击  
登录后回复
关于   移动版
Py学习 - 专注于Python技术发展的社区(原Django社区)
沪ICP备11025650号