BLOG | NGINX

Mise à jour de NGINX pour les vulnérabilités du module HTTP/3

NGINX-Partie-de-F5-horiz-black-type-RGB
Vignette de Prabhat Dixit
Prabhat Dixit
Publié le 14 février 2024

Nous publions aujourd’hui des mises à jour pour NGINX Plus, NGINX Open Source et l’abonnement NGINX Open Source, suite à la découverte interne de vulnérabilités dans le module HTTP/3 ngx_http_v3_module. Ces vulnérabilités ont été identifiées grâce à deux signalements de bugs dans NGINX open source (trac #2585 et trac #2586). Gardez à l’esprit que ce module n’est pas activé par défaut et est indiqué comme expérimental.

Les vulnérabilités ont été enregistrées dans la base de données Common Vulnerabilities and Exposures (CVE) et l' équipe de réponse aux incidents de sécurité F5 (F5 SIRT) leur a attribué des scores à l'aide de l'échelle Common Vulnerability Scoring System (CVSS v3.1).

Les vulnérabilités suivantes concernant le module HTTP/3 concernent NGINX Plus, l'abonnement NGINX Open source et NGINX Open source.

CVE-2024-24989 : Le correctif pour cette vulnérabilité est inclus dans les versions logicielles suivantes :

  • NGINX Plus R31 P1
  • Abonnement NGINX logiciel libre R6 P1
  • Version mainline du logiciel libre NGINX 1.25.4. (La version stable la plus récente du logiciel libre NGINX, 1.24.0, n’est pas concernée.)

CVE-2024-24990 : Le correctif pour cette vulnérabilité est inclus dans les versions logicielles suivantes :

  • NGINX Plus R30 P2
  • NGINX Plus R31 P1
  • Abonnement NGINX open source R5 P2
  • Abonnement NGINX logiciel libre R6 P1
  • Version mainline du logiciel libre NGINX 1.25.4. (La version stable la plus récente du logiciel libre NGINX, 1.24.0, n’est pas concernée.)

Vous êtes concerné si vous utilisez NGINX Plus R30 ou R31, les packages d'abonnement NGINX Open Source R5 ou R6 ou la version principale NGINX Open Source 1.25.3 ou antérieure. Nous vous recommandons fortement de mettre à niveau votre logiciel NGINX vers la dernière version.

Pour obtenir des instructions de mise à niveau de NGINX Plus, consultez Mise à niveau de NGINX Plus dans le Guide d'administration de NGINX Plus. Les clients NGINX Plus peuvent également contacter notre équipe d'assistance pour obtenir de l'aide à l' adresse https://my.f5.com/ .

Lire plus d'articles de blog sur F5 NGINX ›

« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."