安全通告:NGINX HTTP/3 QUIC 漏洞

安全
F5 发布了特别安全通告,建议您升级到修复的软件版本,以完全缓解此漏洞。如果此时无法升级,可以在 NGINX 配置中禁用 HTTP/3 模块。

F5 于昨晚发布了特别安全通告,涉及四个与 NGINX HTTP/3 QUIC 模块相关的中级数据面 CVE 漏洞,其中三个为 DoS 攻击类型风险,一个为随机信息泄漏风险,影响皆为允许未经身份认证的用户通过构造请求实施攻击。

受影响版本:

- NGINX 开源版 1.25.0 - 1.26.0

- NGINX Plus R30 - R31

目前 F5 已发布针对 NGINX 开源版和 NGINX Plus 的修复程序,请 NGINX 开源版用户以及 NGINX Plus 客户将软件更新到安全公告中的版本,或禁用 HTTP/3 QUIC 模块以避免造成负面影响。

修复版本:

- NGINX 开源版(稳定版)1.26.1

- NGINX 开源版(主线版)1.27.0

- NGINX Plus R32

- NGINX 企阅版 R6 P2

需要注意的是,ngx_http_v3_module 对于 NGINX 开源版来说不是默认编译组件,而对于 NGINX Plus R30 以上版本则为默认编译组件。请用户自行检查是否编译了 ngx_http_v3_module 模块且配置并启用了HTTP/3 QUIC功能。如未使用该功能,则不受影响。

NGINX 企业客户如需帮助,可联系您的销售代表或 F5 售后支持团队,为您评估这些漏洞对您的影响并协助进行问题修复。

NGINX 社区用户如需帮助,请微信添加小 N 助手(微信号:nginxoss)加入官方社区群,或邮件发送您的用例至 contactme_nginxapac@f5.com 以寻求商业支持服务。

下文请见四个安全漏洞的详细信息,点击文末“阅读原文”前往 F5 官网查看与本通告相关的更多信息(英文)。

CVE-2024-31079

► 风险描述

当 NGINX Plus 或 NGINX 开源版配置为使用 HTTP/3 QUIC 模块时,未披露的 HTTP/3 请求会导致 NGINX 工作进程终止或造成其他潜在影响。这种攻击要求在连接耗尽过程中对请求进行特定计时,而攻击者对此没有可见性,影响也有限。

注意:此问题会影响使用 

ngx _http_v3_module 模块编译的 NGINX 系统,且其配置包含启用了 QUIC 选项的侦听指令。HTTP/3 QUIC 模块被视为一项实验功能,在 NGINX 开源版中默认不编译,但在 NGINX Plus 中默认编译。

► 漏洞影响

当工作进程重新启动时,客户端流量可能会中断。该漏洞允许未经身份验证的远程攻击者造成拒绝服务(DoS)或其他潜在影响。

This issue has been classified as CWE-121: Stack-based Buffer Overflow.

► 缓解措施

建议您升级到修复的软件版本,以完全缓解此漏洞。如果此时无法升级,可以在 NGINX 配置中禁用 HTTP/3 模块。有关详细信息,请参阅 ngx_http_v3_module 模块页面。

CVE-2024-32760

► 风险描述

当 NGINX Plus 或 NGINX 开源版配置为使用 HTTP/3 QUIC 模块时,未披露的 HTTP/3 编码器指令可能会导致 NGINX 工作进程终止或造成其他潜在影响。

注意:此问题会影响使用 

ngx _http_v3_module 模块编译的 NGINX 系统,且其配置包含启用了 QUIC 选项的侦听指令。HTTP/3 QUIC 模块被视为一项实验功能,在 NGINX 开源版中默认不编译,但在 NGINX Plus 中默认编译。

► 漏洞影响

当工作进程重新启动时,客户端流量可能会中断。利用该漏洞,未经身份验证的远程攻击者可导致拒绝服务(DoS)或其他潜在影响。

This issue has been classified as CWE-787: Out-of-bounds Write.

► 缓解措施

建议您升级到修复的软件版本,以完全缓解此漏洞。如果此时无法升级,可以在 NGINX 配置中禁用 HTTP/3 模块。有关详细信息,请参阅 ngx_http_v3_module 模块页面。

CVE-2024-35200

► 风险描述

当 NGINX Plus 或 NGINX 开源版被配置为使用 HTTP/3 QUIC 模块时,未披露的 HTTP/3 请求会导致 NGINX 工作进程终止。

注意:此问题会影响使用 

ngx _http_v3_module 模块编译的 NGINX 系统,且其配置包含启用了 QUIC 选项的侦听指令。HTTP/3 QUIC 模块被视为一项实验功能,在 NGINX 开源版中默认不编译,但在 NGINX Plus 中默认编译。

► 漏洞影响

当工作进程重新启动时,客户端流量可能会中断。利用此漏洞,未经身份验证的远程攻击者可导致拒绝服务(DoS)。

This issue has been classified as CWE-476: NULL Pointer Dereference.

► 缓解措施

建议您升级到修复的软件版本,以完全缓解此漏洞。如果此时无法升级,可以在 NGINX 配置中禁用 HTTP/3 模块。有关详细信息,请参阅ngx_http_v3_module 模块页面。

CVE-2024-34161

► 风险描述

当 NGINX Plus 或 NGINX 开源版被配置为使用 HTTP/3 QUIC 模块,且网络基础架构支持 4096 或更大的最大传输单元 (MTU)(无分片)时,未披露的 QUIC 数据包会导致 NGINX 工作进程泄漏先前释放的内存。

注意:此问题会影响使用 

ngx _http_v3_module 模块编译的 NGINX 系统,且其配置包含启用了 QUIC 选项的侦听指令。HTTP/3 QUIC 模块被视为一项实验功能,在 NGINX 开源版中默认不编译,但在 NGINX Plus 中默认编译。

► 漏洞影响

此漏洞允许未经身份验证的远程攻击者获取先前释放的内存信息。可能泄漏的内存是随机的,攻击者无法控制,并且该内存信息的范围不包括 NGINX 配置或私钥。

This issue has been classified as CWE-416 Use After Free."

► 缓解措施

建议您升级到修复的软件版本,以完全缓解此漏洞。如果此时无法升级,请确保网络基础设施只允许小于 4096 的最大传输单元 (MTU)。

责任编辑:张燕妮 来源: NGINX开源社区
相关推荐

2021-01-21 10:21:11

NginxHTTP 3.0Linux

2021-04-19 10:05:37

MozillaHTTPWeb服务器

2023-10-24 15:56:23

2013-07-15 10:39:43

2017-06-28 02:25:23

2018-01-26 10:49:19

2020-07-15 10:05:47

微软浏览器Windows

2010-01-11 21:19:57

2015-04-22 09:18:25

2015-04-15 19:32:49

360

2009-07-07 10:16:55

微软漏洞奇虎360

2020-08-07 10:20:01

HTTP3Web

2024-05-10 11:48:00

RustQUIC网络协议

2009-09-02 09:47:35

2020-07-27 09:56:06

HTTP3网络协议应用安全

2022-06-21 10:10:14

HTTP协议TCP

2017-07-05 11:23:38

勒索病毒网络安全企业数据

2022-07-13 14:12:41

HTTP/3前端

2014-06-03 09:23:41

2020-03-08 21:22:03

HTTP112
点赞
收藏

51CTO技术栈公众号