Aktualisieren von NGINX für die Sicherheitslücken im HTTP/3-Modul

Als Reaktion auf die intern entdeckten Schwachstellen im HTTP/3-Modul ngx_http_v3_module veröffentlichen wir heute Updates für NGINX Plus, NGINX Open Source und das NGINX Open Source-Abonnement. Diese Schwachstellen wurden anhand von zwei Fehlerberichten im Open Source-Programm NGINX ( Trac Nr. 2585 und Trac Nr. 2586 ) entdeckt. Beachten Sie, dass dieses Modul standardmäßig nicht aktiviert ist und als experimentell dokumentiert ist.

Die Schwachstellen wurden in der CVE-Datenbank (Common Vulnerabilities and Exposures) registriert und das F5 Security Incident Response Team (F5 SIRT) hat ihnen anhand der Skala des Common Vulnerability Scoring System (CVSS v3.1) Punkte zugewiesen.

Die folgenden Schwachstellen im HTTP/3-Modul gelten für NGINX Plus, NGINX Open Source-Abonnement und NGINX Open Source.

CVE-2024-24989 : Der Patch für diese Sicherheitslücke ist in folgenden Softwareversionen enthalten:

• NGINX Plus R31 P1
• NGINX Open Source-Abonnement R6 P1
• NGINX Open Source-Hauptversion 1.25.4. (Die neueste stabile Open-Source-Version 1.24.0 von NGINX ist nicht betroffen.)

CVE-2024-24990 : Der Patch für diese Sicherheitslücke ist in folgenden Softwareversionen enthalten:

• NGINX Plus R30 P2
• NGINX Plus R31 P1
• NGINX Open Source-Abonnement R5 P2
• NGINX Open Source-Abonnement R6 P1
• NGINX Open Source-Hauptversion 1.25.4. (Die neueste stabile Open-Source-Version 1.24.0 von NGINX ist nicht betroffen.)

Sie sind betroffen, wenn Sie NGINX Plus R30 oder R31, die NGINX Open Source-Abonnementpakete R5 oder R6 oder die NGINX Open Source-Hauptversion 1.25.3 oder früher ausführen. Wir empfehlen Ihnen dringend, Ihre NGINX-Software auf die neueste Version zu aktualisieren.

Anweisungen zum Upgrade von NGINX Plus finden Sie unter „Upgrade von NGINX Plus“ im NGINX Plus-Administratorhandbuch. NGINX Plus-Kunden können sich unter https://my.f5.com/ auch an unser Supportteam wenden, wenn sie Hilfe benötigen.