2024-02-14
F5 NGINX 始终遵循安全的软件生命周期原则,对安全性的关注贯穿于设计、开发及测试各个环节,努力在发布前及时发现安全问题。尽管我们非常重视威胁建模、安全编码、训练和测试,但也难免偶尔出现漏洞。
今年 1 月,NGINX 开源版社区的一名成员报告了 HTTP/3 模块中的两个漏洞导致 NGINX 开源版崩溃。我们发现,攻击者可通过发送特制的 HTTP/3 请求对 NGINX 实例发起拒绝服务攻击。为此,NGINX 对外披露了两个漏洞:CVE-2024-24989 和 CVE-2024-24990。
上述漏洞已登记到通用漏洞披露 (CVE) 数据库中,而且 F5 安全事件响应团队 (F5 SIRT) 使用通用漏洞评分系统 (CVSS v3.1) 标准对其进行了评分。
发布之初,NGINX 的 QUIC 和 HTTP/3 功能就注明是实验性功能。在过去,我们不会为实验性功能发布 CVE,而是将相关代码打上补丁后作为标准版本的一部分发布。对于 NGINX Plus 的商业客户,我们将对前两个版本打完补丁后发布给客户。我们认为,如果不为 NGINX 开源版发布类似补丁,可能会对我们的社区造成伤害。另外,在开源版分支中修复该问题会让未更新二进制文件的用户暴露在漏洞风险之下。
我们之所以决定发布 NGINX 开源版和 NGINX Plus 的补丁,是因为我们始终秉持负责态度,致力于为我们的客户和社区提供高度安全的软件。此外,我们还承诺制定并公布一项明确的政策,说明未来将如何及时、透明地解决安全漏洞问题。
