Als Reaktion auf die intern entdeckten Schwachstellen im HTTP/3-Modul ngx_http_v3_module veröffentlichen wir heute Updates für NGINX Plus, NGINX Open Source und das NGINX Open Source-Abonnement. Diese Schwachstellen wurden anhand von zwei Fehlerberichten im Open Source-Programm NGINX ( Trac Nr. 2585 und Trac Nr. 2586 ) entdeckt. Beachten Sie, dass dieses Modul standardmäßig nicht aktiviert ist und als experimentell dokumentiert ist.
Die Schwachstellen wurden in der CVE-Datenbank (Common Vulnerabilities and Exposures) registriert und das F5 Security Incident Response Team (F5 SIRT) hat ihnen anhand der Skala des Common Vulnerability Scoring System (CVSS v3.1) Punkte zugewiesen.
Die folgenden Schwachstellen im HTTP/3-Modul gelten für NGINX Plus, NGINX Open Source-Abonnement und NGINX Open Source.
CVE-2024-24989 : Der Patch für diese Sicherheitslücke ist in folgenden Softwareversionen enthalten:
CVE-2024-24990 : Der Patch für diese Sicherheitslücke ist in folgenden Softwareversionen enthalten:
Sie sind betroffen, wenn Sie NGINX Plus R30 oder R31, die NGINX Open Source-Abonnementpakete R5 oder R6 oder die NGINX Open Source-Hauptversion 1.25.3 oder früher ausführen. Wir empfehlen Ihnen dringend, Ihre NGINX-Software auf die neueste Version zu aktualisieren.
Anweisungen zum Upgrade von NGINX Plus finden Sie unter „Upgrade von NGINX Plus“ im NGINX Plus-Administratorhandbuch. NGINX Plus-Kunden können sich unter https://my.f5.com/ auch an unser Supportteam wenden, wenn sie Hilfe benötigen.
„Dieser Blogbeitrag kann auf Produkte verweisen, die nicht mehr verfügbar und/oder nicht mehr unterstützt werden. Die aktuellsten Informationen zu verfügbaren F5 NGINX-Produkten und -Lösungen finden Sie in unserer NGINX-Produktfamilie . NGINX ist jetzt Teil von F5. Alle vorherigen NGINX.com-Links werden auf ähnliche NGINX-Inhalte auf F5.com umgeleitet."