BLOG | NGINX

L’engagement continu de NGINX pour sécuriser les utilisateurs en action

NGINX-Partie-de-F5-horiz-black-type-RGB
Vignette de Nina Forsyth
Nina Forsyth
Publié le 14 février 2024

F5 NGINX s'engage à assurer un cycle de vie logiciel sécurisé, y compris la conception, le développement et les tests optimisés pour détecter les problèmes de sécurité avant la publication. Bien que nous accordions la priorité à la modélisation des menaces, au codage sécurisé, à la formation et aux tests, des vulnérabilités surviennent occasionnellement.

Le mois dernier, un membre de la communauté NGINX Open Source a signalé deux bugs dans le module HTTP/3 qui ont provoqué un crash dans NGINX Open Source. Nous avons déterminé qu’un mauvais acteur pourrait provoquer une attaque par déni de service sur les instances NGINX en envoyant des requêtes HTTP/3 spécialement conçues. Pour cette raison, NGINX vient d'annoncer deux vulnérabilités : CVE-2024-24989 et CVE-2024-24990 .

Les vulnérabilités ont été enregistrées dans la base de données Common Vulnerabilities and Exposures (CVE), et l' équipe de réponse aux incidents de sécurité F5 (F5 SIRT) leur a attribué des scores à l'aide de l'échelle Common Vulnerability Scoring System (CVSS v3.1).

À leur sortie, les fonctionnalités QUIC et HTTP/3 de NGINX étaient considérées comme expérimentales. Nous n’avons pas publié de CVE pour les fonctionnalités expérimentales, préférant corriger le code concerné et l’intégrer dans une version standard. Pour nos clients commerciaux de NGINX Plus, nous avons corrigé et publié les deux versions précédentes. Ne pas proposer un correctif équivalent pour NGINX Open Source aurait été un tort envers notre communauté. Corriger le problème dans la branche open source sans fournir de binaire aurait exposé les utilisateurs à la vulnérabilité.

Notre décision de publier un correctif pour NGINX Open Source et NGINX Plus est motivée par notre volonté de faire ce qui est juste : fournir des logiciels hautement sécurisés à nos clients et à notre communauté. De plus, nous nous engageons à documenter et à publier une politique claire sur la manière dont les futures vulnérabilités de sécurité seront traitées de manière opportune et transparente.


« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."