Nginx 1.26.0 爆 HTTP/3 QUIC 漏洞,建议升级更新到 1.27.0

据悉,Nginx 1.25.0-1.26.0 主线版本中涉及四个与 NGINX HTTP/3 QUIC 模块相关的中级数据面 CVE 漏洞,其中三个为 DoS 攻击类型风险,一个为随机信息泄漏风险,影响皆为允许未经身份认证的用户通过构造请求实施攻击。目前已经紧急发布 NGINX 开源版(稳定版)1.26.1 和 NGINX 开源版(主线版)1.27.0 进行了修复,使用了 Nginx 1.25.0-1.26.0 的 HTTP/3 QUIC 的建议尽快升级更新。

四个安全漏洞的影响信息汇总:

CVE-2024-31079

当工作进程重新启动时,客户端流量可能会中断。该漏洞允许未经身份验证的远程攻击者造成拒绝服务(DoS)或其他潜在影响。

This issue has been classified as CWE-121: Stack-based Buffer Overflow.

CVE-2024-32760

当工作进程重新启动时,客户端流量可能会中断。利用该漏洞,未经身份验证的远程攻击者可导致拒绝服务(DoS)或其他潜在影响。

This issue has been classified as CWE-787: Out-of-bounds Write.

CVE-2024-35200

当工作进程重新启动时,客户端流量可能会中断。利用此漏洞,未经身份验证的远程攻击者可导致拒绝服务(DoS)。

This issue has been classified as CWE-476: NULL Pointer Dereference.

CVE-2024-34161

此漏洞允许未经身份验证的远程攻击者获取先前释放的内存信息。可能泄漏的内存是随机的,攻击者无法控制,并且该内存信息的范围不包括 NGINX 配置或私钥。

This issue has been classified as CWE-416 Use After Free.

理论上,使用 Nginx 1.25.0-1.26.0 主线版的只要没有弃用 HTTP/3 QUIC 的是不受这四个漏洞影响的,但明月还是建议尽快更新至 1.27.0 主线版为宜,另外就算用的是 Nginx 1.25.0-1.26.0 主线版并启用了 HTTP/3 QUIC 的话,有 CloudFlare 的加固支持也是勿用担心的,不会受到漏洞影响带来安全威胁,无论如何明月已经第一时间升级更新 Nginx 到 1.27.0 主线版了。

相关推荐
qq_3129201116 分钟前
安装lua-nginx-module实现WAF功能
nginx·junit·lua
Shepherd06191 小时前
【Jenkins实战】Windows安装服务启动失败
运维·jenkins
Biomamba生信基地1 小时前
Linux也有百度云喔~
linux·运维·服务器·百度云
new_abc2 小时前
Ubuntu 22.04 ftp搭建
linux·运维·ubuntu
七月在野,八月在宇,九月在户2 小时前
前端--> nginx-->gateway产生的跨域问题分析
前端·nginx·gateway
鹿鸣天涯2 小时前
‌华为交换机在Spine-Leaf架构中的使用场景
运维·服务器·网络
小白也有IT梦2 小时前
域名绑定服务器小白教程
运维·nginx
heilai42 小时前
workerman的安装与使用
c++·websocket·http·php·phpstorm·visual studio code
有梦想的咕噜2 小时前
Secure Shell(SSH) 是一种网络协议
运维·网络协议·ssh
ClareXi2 小时前
react项目通过http调用后端springboot服务最简单示例
spring boot·react.js·http