针对 HTTP/3 模块中的漏洞更新 NGINX

今年 2 月，针对内部发现的 HTTP/3 模块 ngx_http_v3_module 中的漏洞，我们发布了 NGINX Plus、NGINX 开源版和 NGINX 开源版订阅的更新。这些漏洞是根据 NGINX 开源版中的两份 bug 报告（trac #2585 和 trac #2586）发现的。请注意，该模块在默认情况下未启用，并注明为试验性模块。

上述漏洞已登记到通用漏洞披露 (CVE) 数据库中，而且 F5 安全事件响应团队 (F5 SIRT) 已使用通用漏洞评分系统 (CVSS v3.1) 标准对其进行了评分。

HTTP/3 模块中的以下漏洞适用于 NGINX Plus、NGINX 开源版订阅和 NGINX 开源版。

CVE202424989：以下软件版本包含此漏洞的补丁：

• NGINX Plus R31 P1
• NGINX 开源版订阅 R6 P1
• NGINX 开源版主线版 1.25.4.（最新的 NGINX 开源版稳定版 1.24.0 不受影响。）

CVE-2024-24990：以下软件版本包含此漏洞的补丁：

• NGINX Plus R30 P2
• NGINX Plus R31 P1
• NGINX 开源版订阅 R5 P2
• NGINX 开源版订阅 R6 P1
• NGINX 开源版主线版 1.25.4.（最新的 NGINX 开源版稳定版 1.24.0 不受影响。）

如果您正在运行 NGINX Plus R30 或 R31、NGINX 开源版订阅包 R5 或 R6 或 NGINX 开源版主线版 1.25.3 或更早版本，则会受到影响。我们强烈建议您将 NGINX 软件升级到最新版本。

有关 NGINX Plus 升级说明，请参阅《NGINX Plus 管理指南》中的 “升级 NGINX Plus”。NGINX Plus 客户也可通过以下网址联系我们的支持团队寻求帮助：https://my.f5.com/。