F5 于昨晚發(fā)布了特別安全通告，涉及四個與 NGINX HTTP/3 QUIC 模塊相關(guān)的中級數(shù)據(jù)面 CVE 漏洞，其中三個為 DoS 攻擊類型風(fēng)險，一個為隨機(jī)信息泄漏風(fēng)險，影響皆為允許未經(jīng)身份認(rèn)證的用戶通過構(gòu)造請求實施攻擊。

受影響版本：

- NGINX 開源版 1.25.0 - 1.26.0

- NGINX Plus R30 - R31

目前 F5 已發(fā)布針對 NGINX 開源版和 NGINX Plus 的修復(fù)程序，請 NGINX 開源版用戶以及 NGINX Plus 客戶將軟件更新到安全公告中的版本，或禁用 HTTP/3 QUIC 模塊以避免造成負(fù)面影響。

修復(fù)版本：

- NGINX 開源版（穩(wěn)定版）1.26.1

- NGINX 開源版（主線版）1.27.0

- NGINX Plus R32

- NGINX 企閱版 R6 P2

需要注意的是，ngx_http_v3_module 對于 NGINX 開源版來說不是默認(rèn)編譯組件，而對于 NGINX Plus R30 以上版本則為默認(rèn)編譯組件。請用戶自行檢查是否編譯了 ngx_http_v3_module 模塊且配置并啟用了HTTP/3 QUIC功能。如未使用該功能，則不受影響。

NGINX 企業(yè)客戶如需幫助，可聯(lián)系您的銷售代表或 F5 售后支持團(tuán)隊，為您評估這些漏洞對您的影響并協(xié)助進(jìn)行問題修復(fù)。

NGINX 社區(qū)用戶如需幫助，請微信添加小 N 助手（微信號：nginxoss）加入官方社區(qū)群，或郵件發(fā)送您的用例至 contactme_nginxapac@f5.com 以尋求商業(yè)支持服務(wù)。

下文請見四個安全漏洞的詳細(xì)信息，點擊文末“閱讀原文”前往 F5 官網(wǎng)查看與本通告相關(guān)的更多信息（英文）。

CVE-2024-31079

? 風(fēng)險描述

當(dāng) NGINX Plus 或 NGINX 開源版配置為使用 HTTP/3 QUIC 模塊時，未披露的 HTTP/3 請求會導(dǎo)致 NGINX 工作進(jìn)程終止或造成其他潛在影響。這種攻擊要求在連接耗盡過程中對請求進(jìn)行特定計時，而攻擊者對此沒有可見性，影響也有限。

注意：此問題會影響使用 

ngx _http_v3_module 模塊編譯的 NGINX 系統(tǒng)，且其配置包含啟用了 QUIC 選項的偵聽指令。HTTP/3 QUIC 模塊被視為一項實驗功能，在 NGINX 開源版中默認(rèn)不編譯，但在 NGINX Plus 中默認(rèn)編譯。

? 漏洞影響

當(dāng)工作進(jìn)程重新啟動時，客戶端流量可能會中斷。該漏洞允許未經(jīng)身份驗證的遠(yuǎn)程攻擊者造成拒絕服務(wù)（DoS）或其他潛在影響。

This issue has been classified as CWE-121: Stack-based Buffer Overflow.

? 緩解措施

建議您升級到修復(fù)的軟件版本，以完全緩解此漏洞。如果此時無法升級，可以在 NGINX 配置中禁用 HTTP/3 模塊。有關(guān)詳細(xì)信息，請參閱 ngx_http_v3_module 模塊頁面。

CVE-2024-32760

? 風(fēng)險描述

當(dāng) NGINX Plus 或 NGINX 開源版配置為使用 HTTP/3 QUIC 模塊時，未披露的 HTTP/3 編碼器指令可能會導(dǎo)致 NGINX 工作進(jìn)程終止或造成其他潛在影響。

注意：此問題會影響使用 

ngx _http_v3_module 模塊編譯的 NGINX 系統(tǒng)，且其配置包含啟用了 QUIC 選項的偵聽指令。HTTP/3 QUIC 模塊被視為一項實驗功能，在 NGINX 開源版中默認(rèn)不編譯，但在 NGINX Plus 中默認(rèn)編譯。

? 漏洞影響

當(dāng)工作進(jìn)程重新啟動時，客戶端流量可能會中斷。利用該漏洞，未經(jīng)身份驗證的遠(yuǎn)程攻擊者可導(dǎo)致拒絕服務(wù)（DoS）或其他潛在影響。

This issue has been classified as CWE-787: Out-of-bounds Write.

? 緩解措施

建議您升級到修復(fù)的軟件版本，以完全緩解此漏洞。如果此時無法升級，可以在 NGINX 配置中禁用 HTTP/3 模塊。有關(guān)詳細(xì)信息，請參閱 ngx_http_v3_module 模塊頁面。

CVE-2024-35200

? 風(fēng)險描述

當(dāng) NGINX Plus 或 NGINX 開源版被配置為使用 HTTP/3 QUIC 模塊時，未披露的 HTTP/3 請求會導(dǎo)致 NGINX 工作進(jìn)程終止。

注意：此問題會影響使用 

ngx _http_v3_module 模塊編譯的 NGINX 系統(tǒng)，且其配置包含啟用了 QUIC 選項的偵聽指令。HTTP/3 QUIC 模塊被視為一項實驗功能，在 NGINX 開源版中默認(rèn)不編譯，但在 NGINX Plus 中默認(rèn)編譯。

? 漏洞影響

當(dāng)工作進(jìn)程重新啟動時，客戶端流量可能會中斷。利用此漏洞，未經(jīng)身份驗證的遠(yuǎn)程攻擊者可導(dǎo)致拒絕服務(wù)（DoS）。

This issue has been classified as CWE-476: NULL Pointer Dereference.

? 緩解措施

建議您升級到修復(fù)的軟件版本，以完全緩解此漏洞。如果此時無法升級，可以在 NGINX 配置中禁用 HTTP/3 模塊。有關(guān)詳細(xì)信息，請參閱ngx_http_v3_module 模塊頁面。

CVE-2024-34161

? 風(fēng)險描述

當(dāng) NGINX Plus 或 NGINX 開源版被配置為使用 HTTP/3 QUIC 模塊，且網(wǎng)絡(luò)基礎(chǔ)架構(gòu)支持 4096 或更大的最大傳輸單元 (MTU)（無分片）時，未披露的 QUIC 數(shù)據(jù)包會導(dǎo)致 NGINX 工作進(jìn)程泄漏先前釋放的內(nèi)存。

注意：此問題會影響使用 

ngx _http_v3_module 模塊編譯的 NGINX 系統(tǒng)，且其配置包含啟用了 QUIC 選項的偵聽指令。HTTP/3 QUIC 模塊被視為一項實驗功能，在 NGINX 開源版中默認(rèn)不編譯，但在 NGINX Plus 中默認(rèn)編譯。

? 漏洞影響

此漏洞允許未經(jīng)身份驗證的遠(yuǎn)程攻擊者獲取先前釋放的內(nèi)存信息。可能泄漏的內(nèi)存是隨機(jī)的，攻擊者無法控制，并且該內(nèi)存信息的范圍不包括 NGINX 配置或私鑰。

This issue has been classified as CWE-416 Use After Free."

? 緩解措施

建議您升級到修復(fù)的軟件版本，以完全緩解此漏洞。如果此時無法升級，請確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施只允許小于 4096 的最大傳輸單元 (MTU)。