F5 發(fā)布了特別安全通告,涉及四個(gè)與 NGINX HTTP/3 QUIC 模塊相關(guān)的中級(jí)數(shù)據(jù)面 CVE 漏洞,其中三個(gè)為 DoS 攻擊類型風(fēng)險(xiǎn),一個(gè)為隨機(jī)信息泄漏風(fēng)險(xiǎn),影響皆為允許未經(jīng)身份認(rèn)證的用戶通過(guò)構(gòu)造請(qǐng)求實(shí)施攻擊。
受影響版本:
- NGINX 開(kāi)源版 1.25.0 - 1.26.0
- NGINX Plus R30 - R31
目前 F5 已發(fā)布針對(duì) NGINX 開(kāi)源版和 NGINX Plus 的修復(fù)程序,請(qǐng) NGINX 開(kāi)源版用戶以及 NGINX Plus 客戶將軟件更新到安全公告中的版本,或禁用 HTTP/3 QUIC 模塊以避免造成負(fù)面影響。
修復(fù)版本:
- NGINX 開(kāi)源版(穩(wěn)定版)1.26.1
- NGINX 開(kāi)源版(主線版)1.27.0
- NGINX Plus R32
- NGINX 企閱版 R6 P2
需要注意的是,ngx_http_v3_module 對(duì)于 NGINX 開(kāi)源版來(lái)說(shuō)不是默認(rèn)編譯組件,而對(duì)于 NGINX Plus R30 以上版本則為默認(rèn)編譯組件。請(qǐng)用戶自行檢查是否編譯了 ngx_http_v3_module 模塊且配置并啟用了HTTP/3 QUIC功能。如未使用該功能,則不受影響。
NGINX 企業(yè)客戶如需幫助,可聯(lián)系您的銷售代表或 F5 售后支持團(tuán)隊(duì),為您評(píng)估這些漏洞對(duì)您的影響并協(xié)助進(jìn)行問(wèn)題修復(fù)。
NGINX 社區(qū)用戶如需幫助,請(qǐng)微信添加小 N 助手(微信號(hào):nginxoss)加入官方社區(qū)群,或郵件發(fā)送您的用例至 contactme_nginxapac@f5.com 以尋求商業(yè)支持服務(wù)。
下文請(qǐng)見(jiàn)四個(gè)安全漏洞的詳細(xì)信息,點(diǎn)擊文末“閱讀原文”前往 F5 官網(wǎng)查看與本通告相關(guān)的更多信息(英文)。
CVE-2024-31079
? 風(fēng)險(xiǎn)描述
當(dāng) NGINX Plus 或 NGINX 開(kāi)源版配置為使用 HTTP/3 QUIC 模塊時(shí),未披露的 HTTP/3 請(qǐng)求會(huì)導(dǎo)致 NGINX 工作進(jìn)程終止或造成其他潛在影響。這種攻擊要求在連接耗盡過(guò)程中對(duì)請(qǐng)求進(jìn)行特定計(jì)時(shí),而攻擊者對(duì)此沒(méi)有可見(jiàn)性,影響也有限。
注意:此問(wèn)題會(huì)影響使用
ngx _http_v3_module 模塊編譯的 NGINX 系統(tǒng),且其配置包含啟用了 QUIC 選項(xiàng)的偵聽(tīng)指令。HTTP/3 QUIC 模塊被視為一項(xiàng)實(shí)驗(yàn)功能,在 NGINX 開(kāi)源版中默認(rèn)不編譯,但在 NGINX Plus 中默認(rèn)編譯。
? 漏洞影響
當(dāng)工作進(jìn)程重新啟動(dòng)時(shí),客戶端流量可能會(huì)中斷。該漏洞允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者造成拒絕服務(wù)(DoS)或其他潛在影響。
This issue has been classified as CWE-121: Stack-based Buffer Overflow.
? 緩解措施
建議您升級(jí)到修復(fù)的軟件版本,以完全緩解此漏洞。如果此時(shí)無(wú)法升級(jí),可以在 NGINX 配置中禁用 HTTP/3 模塊。有關(guān)詳細(xì)信息,請(qǐng)參閱 ngx_http_v3_module 模塊頁(yè)面。
CVE-2024-32760
? 風(fēng)險(xiǎn)描述
當(dāng) NGINX Plus 或 NGINX 開(kāi)源版配置為使用 HTTP/3 QUIC 模塊時(shí),未披露的 HTTP/3 編碼器指令可能會(huì)導(dǎo)致 NGINX 工作進(jìn)程終止或造成其他潛在影響。
注意:此問(wèn)題會(huì)影響使用
ngx _http_v3_module 模塊編譯的 NGINX 系統(tǒng),且其配置包含啟用了 QUIC 選項(xiàng)的偵聽(tīng)指令。HTTP/3 QUIC 模塊被視為一項(xiàng)實(shí)驗(yàn)功能,在 NGINX 開(kāi)源版中默認(rèn)不編譯,但在 NGINX Plus 中默認(rèn)編譯。
? 漏洞影響
當(dāng)工作進(jìn)程重新啟動(dòng)時(shí),客戶端流量可能會(huì)中斷。利用該漏洞,未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可導(dǎo)致拒絕服務(wù)(DoS)或其他潛在影響。
This issue has been classified as CWE-787: Out-of-bounds Write.
? 緩解措施
建議您升級(jí)到修復(fù)的軟件版本,以完全緩解此漏洞。如果此時(shí)無(wú)法升級(jí),可以在 NGINX 配置中禁用 HTTP/3 模塊。有關(guān)詳細(xì)信息,請(qǐng)參閱 ngx_http_v3_module 模塊頁(yè)面。
CVE-2024-35200
? 風(fēng)險(xiǎn)描述
當(dāng) NGINX Plus 或 NGINX 開(kāi)源版被配置為使用 HTTP/3 QUIC 模塊時(shí),未披露的 HTTP/3 請(qǐng)求會(huì)導(dǎo)致 NGINX 工作進(jìn)程終止。
注意:此問(wèn)題會(huì)影響使用
ngx _http_v3_module 模塊編譯的 NGINX 系統(tǒng),且其配置包含啟用了 QUIC 選項(xiàng)的偵聽(tīng)指令。HTTP/3 QUIC 模塊被視為一項(xiàng)實(shí)驗(yàn)功能,在 NGINX 開(kāi)源版中默認(rèn)不編譯,但在 NGINX Plus 中默認(rèn)編譯。
? 漏洞影響
當(dāng)工作進(jìn)程重新啟動(dòng)時(shí),客戶端流量可能會(huì)中斷。利用此漏洞,未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可導(dǎo)致拒絕服務(wù)(DoS)。
This issue has been classified as CWE-476: NULL Pointer Dereference.
? 緩解措施
建議您升級(jí)到修復(fù)的軟件版本,以完全緩解此漏洞。如果此時(shí)無(wú)法升級(jí),可以在 NGINX 配置中禁用 HTTP/3 模塊。有關(guān)詳細(xì)信息,請(qǐng)參閱ngx_http_v3_module 模塊頁(yè)面。
CVE-2024-34161
? 風(fēng)險(xiǎn)描述
當(dāng) NGINX Plus 或 NGINX 開(kāi)源版被配置為使用 HTTP/3 QUIC 模塊,且網(wǎng)絡(luò)基礎(chǔ)架構(gòu)支持 4096 或更大的最大傳輸單元 (MTU)(無(wú)分片)時(shí),未披露的 QUIC 數(shù)據(jù)包會(huì)導(dǎo)致 NGINX 工作進(jìn)程泄漏先前釋放的內(nèi)存。
注意:此問(wèn)題會(huì)影響使用
ngx _http_v3_module 模塊編譯的 NGINX 系統(tǒng),且其配置包含啟用了 QUIC 選項(xiàng)的偵聽(tīng)指令。HTTP/3 QUIC 模塊被視為一項(xiàng)實(shí)驗(yàn)功能,在 NGINX 開(kāi)源版中默認(rèn)不編譯,但在 NGINX Plus 中默認(rèn)編譯。
? 漏洞影響
此漏洞允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者獲取先前釋放的內(nèi)存信息??赡苄孤┑膬?nèi)存是隨機(jī)的,攻擊者無(wú)法控制,并且該內(nèi)存信息的范圍不包括 NGINX 配置或私鑰。
This issue has been classified as CWE-416 Use After Free."
? 緩解措施
建議您升級(jí)到修復(fù)的軟件版本,以完全緩解此漏洞。如果此時(shí)無(wú)法升級(jí),請(qǐng)確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施只允許小于 4096 的最大傳輸單元 (MTU)。