F5 發(fā)布了特別安全通告,涉及四個與 NGINX HTTP/3 QUIC 模塊相關(guān)的中級數(shù)據(jù)面 CVE 漏洞�,其中三個為 DoS 攻擊類型風險,一個為隨機信息泄漏風險��,影響皆為允許未經(jīng)身份認證的用戶通過構(gòu)造請求實施攻擊�����。
受影響版本:
- NGINX 開源版 1.25.0 - 1.26.0
- NGINX Plus R30 - R31
目前 F5 已發(fā)布針對 NGINX 開源版和 NGINX Plus 的修復程序�����,請 NGINX 開源版用戶以及 NGINX Plus 客戶將軟件更新到安全公告中的版本����,或禁用 HTTP/3 QUIC 模塊以避免造成負面影響��。
修復版本:
- NGINX 開源版(穩(wěn)定版)1.26.1
- NGINX 開源版(主線版)1.27.0
- NGINX Plus R32
- NGINX 企閱版 R6 P2
需要注意的是��,ngx_http_v3_module 對于 NGINX 開源版來說不是默認編譯組件��,而對于 NGINX Plus R30 以上版本則為默認編譯組件����。請用戶自行檢查是否編譯了 ngx_http_v3_module 模塊且配置并啟用了HTTP/3 QUIC功能�。如未使用該功能,則不受影響�。
NGINX 企業(yè)客戶如需幫助,可聯(lián)系您的銷售代表或 F5 售后支持團隊�����,為您評估這些漏洞對您的影響并協(xié)助進行問題修復�。
NGINX 社區(qū)用戶如需幫助�����,請微信添加小 N 助手(微信號:nginxoss)加入官方社區(qū)群,或郵件發(fā)送您的用例至 contactme_nginxapac@f5.com 以尋求商業(yè)支持服務�����。
下文請見四個安全漏洞的詳細信息��,點擊文末“閱讀原文”前往 F5 官網(wǎng)查看與本通告相關(guān)的更多信息(英文)�����。
CVE-2024-31079
? 風險描述
當 NGINX Plus 或 NGINX 開源版配置為使用 HTTP/3 QUIC 模塊時�����,未披露的 HTTP/3 請求會導致 NGINX 工作進程終止或造成其他潛在影響��。這種攻擊要求在連接耗盡過程中對請求進行特定計時��,而攻擊者對此沒有可見性����,影響也有限��。
注意:此問題會影響使用
ngx _http_v3_module 模塊編譯的 NGINX 系統(tǒng)���,且其配置包含啟用了 QUIC 選項的偵聽指令�����。HTTP/3 QUIC 模塊被視為一項實驗功能,在 NGINX 開源版中默認不編譯����,但在 NGINX Plus 中默認編譯。
? 漏洞影響
當工作進程重新啟動時��,客戶端流量可能會中斷����。該漏洞允許未經(jīng)身份驗證的遠程攻擊者造成拒絕服務(DoS)或其他潛在影響。
This issue has been classified as CWE-121: Stack-based Buffer Overflow.
? 緩解措施
建議您升級到修復的軟件版本�����,以完全緩解此漏洞����。如果此時無法升級,可以在 NGINX 配置中禁用 HTTP/3 模塊��。有關(guān)詳細信息�����,請參閱 ngx_http_v3_module 模塊頁面����。
CVE-2024-32760
? 風險描述
當 NGINX Plus 或 NGINX 開源版配置為使用 HTTP/3 QUIC 模塊時����,未披露的 HTTP/3 編碼器指令可能會導致 NGINX 工作進程終止或造成其他潛在影響。
注意:此問題會影響使用
ngx _http_v3_module 模塊編譯的 NGINX 系統(tǒng)����,且其配置包含啟用了 QUIC 選項的偵聽指令。HTTP/3 QUIC 模塊被視為一項實驗功能����,在 NGINX 開源版中默認不編譯,但在 NGINX Plus 中默認編譯����。
? 漏洞影響
當工作進程重新啟動時,客戶端流量可能會中斷�����。利用該漏洞����,未經(jīng)身份驗證的遠程攻擊者可導致拒絕服務(DoS)或其他潛在影響。
This issue has been classified as CWE-787: Out-of-bounds Write.
? 緩解措施
建議您升級到修復的軟件版本�����,以完全緩解此漏洞�。如果此時無法升級�����,可以在 NGINX 配置中禁用 HTTP/3 模塊���。有關(guān)詳細信息,請參閱 ngx_http_v3_module 模塊頁面��。
CVE-2024-35200
? 風險描述
當 NGINX Plus 或 NGINX 開源版被配置為使用 HTTP/3 QUIC 模塊時,未披露的 HTTP/3 請求會導致 NGINX 工作進程終止���。
注意:此問題會影響使用
ngx _http_v3_module 模塊編譯的 NGINX 系統(tǒng)����,且其配置包含啟用了 QUIC 選項的偵聽指令����。HTTP/3 QUIC 模塊被視為一項實驗功能�,在 NGINX 開源版中默認不編譯,但在 NGINX Plus 中默認編譯����。
? 漏洞影響
當工作進程重新啟動時,客戶端流量可能會中斷��。利用此漏洞�,未經(jīng)身份驗證的遠程攻擊者可導致拒絕服務(DoS)�����。
This issue has been classified as CWE-476: NULL Pointer Dereference.
? 緩解措施
建議您升級到修復的軟件版本�,以完全緩解此漏洞����。如果此時無法升級�����,可以在 NGINX 配置中禁用 HTTP/3 模塊����。有關(guān)詳細信息,請參閱ngx_http_v3_module 模塊頁面�。
CVE-2024-34161
? 風險描述
當 NGINX Plus 或 NGINX 開源版被配置為使用 HTTP/3 QUIC 模塊�,且網(wǎng)絡基礎(chǔ)架構(gòu)支持 4096 或更大的最大傳輸單元 (MTU)(無分片)時,未披露的 QUIC 數(shù)據(jù)包會導致 NGINX 工作進程泄漏先前釋放的內(nèi)存�����。
注意:此問題會影響使用
ngx _http_v3_module 模塊編譯的 NGINX 系統(tǒng)��,且其配置包含啟用了 QUIC 選項的偵聽指令����。HTTP/3 QUIC 模塊被視為一項實驗功能���,在 NGINX 開源版中默認不編譯���,但在 NGINX Plus 中默認編譯。
? 漏洞影響
此漏洞允許未經(jīng)身份驗證的遠程攻擊者獲取先前釋放的內(nèi)存信息�����?���?赡苄孤┑膬?nèi)存是隨機的,攻擊者無法控制����,并且該內(nèi)存信息的范圍不包括 NGINX 配置或私鑰。
This issue has been classified as CWE-416 Use After Free."
? 緩解措施
建議您升級到修復的軟件版本���,以完全緩解此漏洞。如果此時無法升級���,請確保網(wǎng)絡基礎(chǔ)設施只允許小于 4096 的最大傳輸單元 (MTU)����。
