NGINX HTTP/3 QUIC 漏洞

mjj天下第一 · 发表于 2024-6-5 15:41:46

涉及四个与 NGINX HTTP/3 QUIC 模块相关的中级数据面 CVE 漏洞，其中三个为 DoS 攻击类型风险，一个为随机信息泄漏风险，影响皆为允许未经身份认证的用户通过构造请求实施攻击。

受影响版本：

- NGINX 开源版 1.25.0 - 1.26.0

- NGINX Plus R30 - R31

客户将软件更新到安全公告中的版本，或禁用 HTTP/3 QUIC 模块以避免造成负面影响。

修复版本：

- NGINX 开源版（稳定版）1.26.1

- NGINX 开源版（主线版）1.27.0

- NGINX Plus R32

- NGINX 企阅版 R6 P2

需要注意的是，ngx_http_v3_module 对于 NGINX 开源版来说不是默认编译组件，而对于 NGINX Plus R30 以上版本则为默认编译组件。请用户自行检查是否编译了 ngx_http_v3_module 模块且配置并启用了HTTP/3 QUIC功能。如未使用该功能，则不受影响。

mark1234 · 发表于 2024-6-5 15:54:40

不好意思我是自己编译的rpm包

HOH · 发表于 2024-6-5 15:55:30

2都没用就来3了

Mio · 发表于 2024-6-5 16:15:25

又要忙活半天了。。

haozi · 发表于 2024-6-5 18:41:26

都小问题，linux内核提权那个CVE-2024-1086才是要注意的

acm · 发表于 2024-6-5 18:58:44

http version:1.1

andx · 发表于 2024-6-5 19:50:48

xjjmjj · 发表于 2024-6-5 21:41:30

还好用的1.18

88232128 · 发表于 2024-6-5 21:43:40

阿西吧，真能闹，才引入就整BUG

		自动登录	找回密码
密码			注册