L’engagement continu de NGINX pour sécuriser les utilisateurs en action
F5 NGINX s'engage à assurer un cycle de vie logiciel sécurisé, y compris la conception, le développement et les tests optimisés pour détecter les problèmes de sécurité avant la publication. Bien que nous accordions la priorité à la modélisation des menaces, au codage sécurisé, à la formation et aux tests, des vulnérabilités surviennent occasionnellement.
Le mois dernier, un membre de la communauté NGINX Open Source a signalé deux bugs dans le module HTTP/3 qui ont provoqué un crash dans NGINX Open Source. Nous avons déterminé qu’un mauvais acteur pourrait provoquer une attaque par déni de service sur les instances NGINX en envoyant des requêtes HTTP/3 spécialement conçues. Pour cette raison, NGINX vient d'annoncer deux vulnérabilités : CVE-2024-24989 et CVE-2024-24990 .
Les vulnérabilités ont été enregistrées dans la base de données Common Vulnerabilities and Exposures (CVE), et l' équipe de réponse aux incidents de sécurité F5 (F5 SIRT) leur a attribué des scores à l'aide de l'échelle Common Vulnerability Scoring System (CVSS v3.1).
Lors de leur sortie, les fonctionnalités QUIC et HTTP/3 de NGINX étaient considérées comme expérimentales. Historiquement, nous n'émettions pas de CVE pour les fonctionnalités expérimentales. Au lieu de cela, nous corrigions le code concerné et le publiions dans le cadre d'une version standard. Pour les clients commerciaux de NGINX Plus, les deux versions précédentes seront corrigées et publiées pour les clients. Nous avons estimé que ne pas publier un correctif similaire pour NGINX Open Source serait un mauvais service rendu à notre communauté. De plus, la résolution du problème dans la branche open source aurait exposé les utilisateurs à la vulnérabilité sans fournir de binaire.
Notre décision de publier un correctif pour NGINX Open Source et NGINX Plus est motivée par notre volonté de faire ce qui est juste : fournir des logiciels hautement sécurisés à nos clients et à notre communauté. De plus, nous nous engageons à documenter et à publier une politique claire sur la manière dont les futures vulnérabilités de sécurité seront traitées de manière opportune et transparente.
« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."