2024-02-14
今年 2 月,针对内部发现的 HTTP/3 模块 ngx_http_v3_module 中的漏洞,我们发布了 NGINX Plus、NGINX 开源版和 NGINX 开源版订阅的更新。这些漏洞是根据 NGINX 开源版中的两份 bug 报告(trac #2585 和 trac #2586)发现的。请注意,该模块在默认情况下未启用,并注明为试验性模块。
上述漏洞已登记到通用漏洞披露 (CVE) 数据库中,而且 F5 安全事件响应团队 (F5 SIRT) 已使用通用漏洞评分系统 (CVSS v3.1) 标准对其进行了评分。
HTTP/3 模块中的以下漏洞适用于 NGINX Plus、NGINX 开源版订阅和 NGINX 开源版。
CVE202424989:以下软件版本包含此漏洞的补丁:
- NGINX Plus R31 P1
- NGINX 开源版订阅 R6 P1
- NGINX 开源版主线版 1.25.4.(最新的 NGINX 开源版稳定版 1.24.0 不受影响。)
CVE-2024-24990:以下软件版本包含此漏洞的补丁:
- NGINX Plus R30 P2
- NGINX Plus R31 P1
- NGINX 开源版订阅 R5 P2
- NGINX 开源版订阅 R6 P1
- NGINX 开源版主线版 1.25.4.(最新的 NGINX 开源版稳定版 1.24.0 不受影响。)
如果您正在运行 NGINX Plus R30 或 R31、NGINX 开源版订阅包 R5 或 R6 或 NGINX 开源版主线版 1.25.3 或更早版本,则会受到影响。我们强烈建议您将 NGINX 软件升级到最新版本。
有关 NGINX Plus 升级说明,请参阅《NGINX Plus 管理指南》中的 “升级 NGINX Plus”。NGINX Plus 客户也可通过以下网址联系我们的支持团队寻求帮助:https://my.f5.com/。
