Hoje, estamos lançando atualizações para o NGINX Plus, NGINX Open Source e assinatura do NGINX Open Source em resposta às vulnerabilidades descobertas internamente no módulo HTTP/3 ngx_http_v3_module . Essas vulnerabilidades foram descobertas com base em dois relatórios de bugs no código aberto NGINX ( trac #2585 e trac #2586 ). Observe que este módulo não é habilitado por padrão e é documentado como experimental.
As vulnerabilidades foram registradas no banco de dados Common Vulnerabilities and Exposures (CVE) e a F5 Security Incident Response Team (F5 SIRT) atribuiu pontuações a elas usando a escala Common Vulnerability Scoring System (CVSS v3.1).
As seguintes vulnerabilidades no módulo HTTP/3 se aplicam ao NGINX Plus, à assinatura NGINX Open Source e ao NGINX Open Source.
CVE-2024-24989 : O patch para esta vulnerabilidade está incluído nas seguintes versões de software:
CVE-2024-24990 : O patch para esta vulnerabilidade está incluído nas seguintes versões de software:
Você será afetado se estiver executando o NGINX Plus R30 ou R31, os pacotes de assinatura de código aberto do NGINX R5 ou R6 ou a versão principal do NGINX Open Source 1.25.3 ou anterior. Recomendamos fortemente que você atualize seu software NGINX para a versão mais recente.
Para obter instruções de atualização do NGINX Plus, consulte Atualizando o NGINX Plus no Guia de administração do NGINX Plus. Os clientes do NGINX Plus também podem entrar em contato com nossa equipe de suporte para obter assistência em https://my.f5.com/ .
"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."