BLOG | NGINX

El compromiso continuo de NGINX con la seguridad de los usuarios en acción

NGINX - Parte de F5 - horizontal, negro, tipo RGB
Miniatura de Nina Forsyth
Nina Forsyth
Publicado el 14 de febrero de 2024

F5 NGINX está comprometido con un ciclo de vida de software seguro, que incluye diseño, desarrollo y pruebas optimizados para detectar problemas de seguridad antes del lanzamiento. Si bien priorizamos el modelado de amenazas, la codificación segura, la capacitación y las pruebas, ocasionalmente ocurren vulnerabilidades.

El mes pasado, un miembro de la comunidad NGINX Open Source informó dos errores en el módulo HTTP/3 que provocaron un bloqueo en NGINX Open Source. Determinamos que un actor malicioso podría provocar un ataque de denegación de servicio en instancias NGINX al enviar solicitudes HTTP/3 especialmente diseñadas. Por este motivo, NGINX acaba de anunciar dos vulnerabilidades: CVE-2024-24989 y CVE-2024-24990 .

Las vulnerabilidades han sido registradas en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE), y el Equipo de Respuesta a Incidentes de Seguridad de F5 (F5 SIRT) les ha asignado puntuaciones utilizando la escala del Sistema de Puntuación de Vulnerabilidades Comunes (CVSS v3.1).

Al momento de su lanzamiento, las funciones QUIC y HTTP/3 en NGINX se consideraron experimentales. Históricamente, no emitíamos CVE para funciones experimentales y, en su lugar, parcheábamos el código relevante y lo lanzábamos como parte de una versión estándar. Para los clientes comerciales de NGINX Plus, las dos versiones anteriores se parchearán y se lanzarán al mercado. Consideramos que no emitir un parche similar para NGINX Open Source sería un perjuicio para nuestra comunidad. Además, solucionar el problema en la rama de código abierto habría expuesto a los usuarios a la vulnerabilidad sin proporcionar un binario.

Nuestra decisión de lanzar un parche tanto para NGINX Open Source como para NGINX Plus se basa en hacer lo correcto: ofrecer un software altamente seguro para nuestros clientes y nuestra comunidad. Además, nos comprometemos a documentar y publicar una política clara sobre cómo se abordarán las futuras vulnerabilidades de seguridad de manera oportuna y transparente.

Leer más publicaciones de blog sobre F5 NGINX ›

"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.