BLOG | NGINX

Mise à jour de NGINX pour les vulnérabilités du module HTTP/3

NGINX-Partie-de-F5-horiz-black-type-RGB
Vignette de Prabhat Dixit
Prabhat Dixit
Publié le 14 février 2024

Aujourd'hui, nous publions des mises à jour pour NGINX Plus, NGINX Open source et NGINX Open Source subscription en réponse aux vulnérabilités découvertes en interne dans le module HTTP/3 ngx_http_v3_module . Ces vulnérabilités ont été découvertes sur la base de deux rapports de bugs dans l'open source NGINX ( trac #2585 et trac #2586 ). Notez que ce module n'est pas activé par défaut et est documenté comme expérimental.

Les vulnérabilités ont été enregistrées dans la base de données Common Vulnerabilities and Exposures (CVE) et l' équipe de réponse aux incidents de sécurité F5 (F5 SIRT) leur a attribué des scores à l'aide de l'échelle Common Vulnerability Scoring System (CVSS v3.1).

Les vulnérabilités suivantes dans le module HTTP/3 s'appliquent à NGINX Plus, à l'abonnement NGINX Open source et à NGINX Open source.

CVE-2024-24989 : Le correctif pour cette vulnérabilité est inclus dans les versions logicielles suivantes :

  • NGINX Plus R31 P1
  • Abonnement open source NGINX R6 P1
  • Version principale open source de NGINX 1.25.4. (La dernière version stable open source de NGINX 1.24.0 n'est pas affectée.)

CVE-2024-24990 : Le correctif pour cette vulnérabilité est inclus dans les versions logicielles suivantes :

  • NGINX Plus R30 P2
  • NGINX Plus R31 P1
  • Abonnement open source NGINX R5 P2
  • Abonnement open source NGINX R6 P1
  • Version principale open source de NGINX 1.25.4. (La dernière version stable open source de NGINX 1.24.0 n'est pas affectée.)

Vous êtes concerné si vous utilisez NGINX Plus R30 ou R31, les packages d'abonnement NGINX Open Source R5 ou R6 ou la version principale NGINX Open Source 1.25.3 ou antérieure. Nous vous recommandons fortement de mettre à niveau votre logiciel NGINX vers la dernière version.

Pour obtenir des instructions de mise à niveau de NGINX Plus, consultez Mise à niveau de NGINX Plus dans le Guide d'administration de NGINX Plus. Les clients NGINX Plus peuvent également contacter notre équipe d'assistance pour obtenir de l'aide à l' adresse https://my.f5.com/ .

Lire plus d'articles de blog sur F5 NGINX ›

« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."