Nginx 1.26.0 爆 HTTP/3 QUIC 漏洞,建议升级更新到 1.27.0

据悉,Nginx 1.25.0-1.26.0 主线版本中涉及四个与 NGINX HTTP/3 QUIC 模块相关的中级数据面 CVE 漏洞,其中三个为 DoS 攻击类型风险,一个为随机信息泄漏风险,影响皆为允许未经身份认证的用户通过构造请求实施攻击。目前已经紧急发布 NGINX 开源版(稳定版)1.26.1 和 NGINX 开源版(主线版)1.27.0 进行了修复,使用了 Nginx 1.25.0-1.26.0 的 HTTP/3 QUIC 的建议尽快升级更新。

四个安全漏洞的影响信息汇总:

CVE-2024-31079

当工作进程重新启动时,客户端流量可能会中断。该漏洞允许未经身份验证的远程攻击者造成拒绝服务(DoS)或其他潜在影响。

This issue has been classified as CWE-121: Stack-based Buffer Overflow.

CVE-2024-32760

当工作进程重新启动时,客户端流量可能会中断。利用该漏洞,未经身份验证的远程攻击者可导致拒绝服务(DoS)或其他潜在影响。

This issue has been classified as CWE-787: Out-of-bounds Write.

CVE-2024-35200

当工作进程重新启动时,客户端流量可能会中断。利用此漏洞,未经身份验证的远程攻击者可导致拒绝服务(DoS)。

This issue has been classified as CWE-476: NULL Pointer Dereference.

CVE-2024-34161

此漏洞允许未经身份验证的远程攻击者获取先前释放的内存信息。可能泄漏的内存是随机的,攻击者无法控制,并且该内存信息的范围不包括 NGINX 配置或私钥。

This issue has been classified as CWE-416 Use After Free.

理论上,使用 Nginx 1.25.0-1.26.0 主线版的只要没有弃用 HTTP/3 QUIC 的是不受这四个漏洞影响的,但明月还是建议尽快更新至 1.27.0 主线版为宜,另外就算用的是 Nginx 1.25.0-1.26.0 主线版并启用了 HTTP/3 QUIC 的话,有 CloudFlare 的加固支持也是勿用担心的,不会受到漏洞影响带来安全威胁,无论如何明月已经第一时间升级更新 Nginx 到 1.27.0 主线版了。

相关推荐
LKAI.11 分钟前
搭建Elastic search群集
linux·运维·elasticsearch·搜索引擎
gywl2 小时前
openEuler VM虚拟机操作(期末考试)
linux·服务器·网络·windows·http·centos
青木沐2 小时前
Jenkins介绍
运维·jenkins
WTT00112 小时前
2024楚慧杯WP
大数据·运维·网络·安全·web安全·ctf
苹果醋32 小时前
React源码02 - 基础知识 React API 一览
java·运维·spring boot·mysql·nginx
某柚啊3 小时前
Windows开启IIS后依然出现http error 503.the service is unavailable
windows·http
_oP_i3 小时前
HTTP 请求Media typetext/plain application/json text/json区别
网络协议·http·json
日记跟新中3 小时前
Ubuntu20.04 修改root密码
linux·运维·服务器
唐小旭3 小时前
服务器建立-错误:pyenv环境建立后python版本不对
运维·服务器·python