我要评论nginx 唯一中文官方社区 ,尽在 nginx.org.cn
f5 于昨晚发布了特别安全通告,涉及四个与 nginx http/3 quic 模块相关的中级数据面 cve 漏洞,其中三个为 dos 攻击类型风险,一个为随机信息泄漏风险,影响皆为允许未经身份认证的用户通过构造请求实施攻击。
受影响版本:
- nginx 开源版 1.25.0 - 1.26.0
- nginx plus r30 - r31
目前 f5 已发布针对 nginx 开源版和 nginx plus 的修复程序,请 nginx 开源版用户以及 nginx plus 客户将软件更新到安全公告中的版本,或禁用 http/3 quic 模块以避免造成负面影响。
修复版本:
- nginx 开源版(稳定版)1.26.1
- nginx 开源版(主线版)1.27.0
- nginx plus r32
- nginx 企阅版 r6 p2
需要注意的是,ngx_http_v3_module 对于 nginx 开源版来说不是默认编译组件,而对于 nginx plus r30 以上版本则为默认编译组件。请用户自行检查是否编译了 ngx_http_v3_module 模块且配置并启用了http/3 quic功能。如未使用该功能,则不受影响。
nginx 企业客户如需帮助,可联系您的销售代表或 f5 售后支持团队,为您评估这些漏洞对您的影响并协助进行问题修复。
nginx 社区用户如需帮助,请微信添加小 n 助手(微信号:nginxoss)加入官方社区群,或邮件发送您的用例至 contactme_nginxapac@f5.com 以寻求商业支持服务。
下文请见四个安全漏洞的详细信息,点击此处前往 f5 官网查看与本通告相关的更多信息(英文)。
cve-2024-31079
► 风险描述
当 nginx plus 或 nginx 开源版配置为使用 http/3 quic 模块时,未披露的 http/3 请求会导致 nginx 工作进程终止或造成其他潜在影响。这种攻击要求在连接耗尽过程中对请求进行特定计时,而攻击者对此没有可见性,影响也有限。
注意:此问题会影响使用 ngx _http_v3_module 模块编译的 nginx 系统,且其配置包含启用了 quic 选项的侦听指令。http/3 quic 模块被视为一项实验功能,在 nginx 开源版中默认不编译,但在 nginx plus 中默认编译。
► 漏洞影响
当工作进程重新启动时,客户端流量可能会中断。该漏洞允许未经身份验证的远程攻击者造成拒绝服务(dos)或其他潜在影响。
this issue has been classified as cwe-121: stack-based buffer overflow.
► 缓解措施
建议您升级到修复的软件版本,以完全缓解此漏洞。如果此时无法升级,可以在 nginx 配置中禁用 http/3 模块。有关详细信息,请参阅 ngx_http_v3_module 模块页面。
cve-2024-32760
► 风险描述
当 nginx plus 或 nginx 开源版配置为使用 http/3 quic 模块时,未披露的 http/3 编码器指令可能会导致 nginx 工作进程终止或造成其他潜在影响。
注意:此问题会影响使用 ngx _http_v3_module 模块编译的 nginx 系统,且其配置包含启用了 quic 选项的侦听指令。http/3 quic 模块被视为一项实验功能,在 nginx 开源版中默认不编译,但在 nginx plus 中默认编译。
► 漏洞影响
当工作进程重新启动时,客户端流量可能会中断。利用该漏洞,未经身份验证的远程攻击者可导致拒绝服务(dos)或其他潜在影响。
this issue has been classified as cwe-787: out-of-bounds write.
► 缓解措施
建议您升级到修复的软件版本,以完全缓解此漏洞。如果此时无法升级,可以在 nginx 配置中禁用 http/3 模块。有关详细信息,请参阅 ngx_http_v3_module 模块页面。
cve-2024-35200
► 风险描述
当 nginx plus 或 nginx 开源版被配置为使用 http/3 quic 模块时,未披露的 http/3 请求会导致 nginx 工作进程终止。
注意:此问题会影响使用 ngx _http_v3_module 模块编译的 nginx 系统,且其配置包含启用了 quic 选项的侦听指令。http/3 quic 模块被视为一项实验功能,在 nginx 开源版中默认不编译,但在 nginx plus 中默认编译。
► 漏洞影响
当工作进程重新启动时,客户端流量可能会中断。利用此漏洞,未经身份验证的远程攻击者可导致拒绝服务(dos)。
this issue has been classified as cwe-476: null pointer dereference.
► 缓解措施
建议您升级到修复的软件版本,以完全缓解此漏洞。如果此时无法升级,可以在 nginx 配置中禁用 http/3 模块。有关详细信息,请参阅ngx_http_v3_module 模块页面。
cve-2024-34161
► 风险描述
当 nginx plus 或 nginx 开源版被配置为使用 http/3 quic 模块,且网络基础架构支持 4096 或更大的最大传输单元 (mtu)(无分片)时,未披露的 quic 数据包会导致 nginx 工作进程泄漏先前释放的内存。
注意:此问题会影响使用 ngx _http_v3_module 模块编译的 nginx 系统,且其配置包含启用了 quic 选项的侦听指令。http/3 quic 模块被视为一项实验功能,在 nginx 开源版中默认不编译,但在 nginx plus 中默认编译。
► 漏洞影响
此漏洞允许未经身份验证的远程攻击者获取先前释放的内存信息。可能泄漏的内存是随机的,攻击者无法控制,并且该内存信息的范围不包括 nginx 配置或私钥。
this issue has been classified as cwe-416 use after free."
► 缓解措施
建议您升级到修复的软件版本,以完全缓解此漏洞。如果此时无法升级,请确保网络基础设施只允许小于 4096 的最大传输单元 (mtu)。
nginx 唯一中文官方社区 ,尽在 nginx.org.cn
发表评论