Nous publions aujourd’hui des mises à jour pour NGINX Plus, NGINX Open Source et l’abonnement NGINX Open Source, suite à la découverte interne de vulnérabilités dans le module HTTP/3 ngx_http_v3_module. Ces vulnérabilités ont été identifiées grâce à deux signalements de bugs dans NGINX open source (trac #2585 et trac #2586). Gardez à l’esprit que ce module n’est pas activé par défaut et est indiqué comme expérimental.
Les vulnérabilités ont été enregistrées dans la base de données Common Vulnerabilities and Exposures (CVE) et l' équipe de réponse aux incidents de sécurité F5 (F5 SIRT) leur a attribué des scores à l'aide de l'échelle Common Vulnerability Scoring System (CVSS v3.1).
Les vulnérabilités suivantes concernant le module HTTP/3 concernent NGINX Plus, l'abonnement NGINX Open source et NGINX Open source.
CVE-2024-24989 : Le correctif pour cette vulnérabilité est inclus dans les versions logicielles suivantes :
CVE-2024-24990 : Le correctif pour cette vulnérabilité est inclus dans les versions logicielles suivantes :
Vous êtes concerné si vous utilisez NGINX Plus R30 ou R31, les packages d'abonnement NGINX Open Source R5 ou R6 ou la version principale NGINX Open Source 1.25.3 ou antérieure. Nous vous recommandons fortement de mettre à niveau votre logiciel NGINX vers la dernière version.
Pour obtenir des instructions de mise à niveau de NGINX Plus, consultez Mise à niveau de NGINX Plus dans le Guide d'administration de NGINX Plus. Les clients NGINX Plus peuvent également contacter notre équipe d'assistance pour obtenir de l'aide à l' adresse https://my.f5.com/ .
« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."