BLOG | NGINX

Actualización de NGINX para las vulnerabilidades en el módulo HTTP/3

NGINX - Parte de F5 - horizontal, negro, tipo RGB
Miniatura de Prabhat Dixit
Prabhat Dixit
Publicado el 14 de febrero de 2024

Hoy, lanzamos actualizaciones para NGINX Plus, NGINX Open Source y la suscripción a NGINX Open Source en respuesta a las vulnerabilidades descubiertas internamente en el módulo HTTP/3 ngx_http_v3_module . Estas vulnerabilidades se descubrieron en base a dos informes de errores en el código abierto NGINX ( trac #2585 y trac #2586 ). Tenga en cuenta que este módulo no está habilitado de forma predeterminada y está documentado como experimental.

Las vulnerabilidades se han registrado en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE) y el Equipo de Respuesta a Incidentes de Seguridad de F5 (F5 SIRT) les ha asignado puntuaciones utilizando la escala del Sistema de Puntuación de Vulnerabilidades Comunes (CVSS v3.1).

Las siguientes vulnerabilidades en el módulo HTTP/3 se aplican a NGINX Plus, suscripción de código abierto NGINX y NGINX de código abierto.

CVE-2024-24989 : El parche para esta vulnerabilidad está incluido en las siguientes versiones de software:

  • NGINX Plus R31 P1
  • Suscripción de código abierto NGINX R6 P1
  • NGINX versión principal de código abierto 1.25.4. (La última versión estable de código abierto NGINX 1.24.0 no se ve afectada).

CVE-2024-24990 : El parche para esta vulnerabilidad está incluido en las siguientes versiones de software:

  • NGINX Plus R30 P2
  • NGINX Plus R31 P1
  • Suscripción de código abierto NGINX R5 P2
  • Suscripción de código abierto NGINX R6 P1
  • NGINX versión principal de código abierto 1.25.4. (La última versión estable de código abierto NGINX 1.24.0 no se ve afectada).

Se verá afectado si está ejecutando NGINX Plus R30 o R31, paquetes de suscripción de código abierto NGINX R5 o R6 o la versión principal de código abierto NGINX 1.25.3 o anterior. Le recomendamos encarecidamente que actualice su software NGINX a la última versión.

Para obtener instrucciones sobre la actualización de NGINX Plus, consulte Actualización de NGINX Plus en la Guía de administración de NGINX Plus. Los clientes de NGINX Plus también pueden contactar a nuestro equipo de soporte para obtener ayuda en https://my.f5.com/ .

Leer más publicaciones de blog sobre F5 NGINX ›

"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.