HTTP/3 모듈의 취약점에 대한 NGINX 업데이트

오늘, 우리는 HTTP/3 모듈 ngx_http_v3_module 에서 내부적으로 발견된 취약점에 대응하여 NGINX Plus, NGINX 오픈 소스, NGINX 오픈 소스 구독에 대한 업데이트를 출시합니다. 이러한 취약점은 NGINX 오픈 소스의 두 가지 버그 보고서( trac #2585 및 trac #2586 )를 기반으로 발견되었습니다. 이 모듈은 기본적으로 활성화되어 있지 않으며 실험적 기능으로 기록되어 있습니다.

해당 취약점은 CVE(Common Vulnerability and Exposures) 데이터베이스에 등록되었으며 F5 보안 사고 대응팀 (F5 SIRT)은 CVSS v3.1( Common Vulnerability Scoring System ) 척도를 사용하여 점수를 매겼습니다.

다음 HTTP/3 모듈 의 취약점은 NGINX Plus, NGINX 오픈 소스 구독 및 NGINX 오픈 소스에 적용됩니다.

CVE-2024-24989 : 이 취약점에 대한 패치는 다음 소프트웨어 버전에 포함되어 있습니다.

• NGINX 플러스 R31 P1
• NGINX 오픈소스 구독 R6 P1
• NGINX 오픈소스 메인라인 버전 1.25.4. (최신 NGINX 오픈 소스 안정 버전 1.24.0은 영향을 받지 않습니다.)

CVE-2024-24990 : 이 취약점에 대한 패치는 다음 소프트웨어 버전에 포함되어 있습니다.

• NGINX 플러스 R30 P2
• NGINX 플러스 R31 P1
• NGINX 오픈소스 구독 R5 P2
• NGINX 오픈소스 구독 R6 P1
• NGINX 오픈소스 메인라인 버전 1.25.4. (최신 NGINX 오픈 소스 안정 버전 1.24.0은 영향을 받지 않습니다.)

NGINX Plus R30 또는 R31, NGINX 오픈 소스 구독 패키지 R5 또는 R6, 또는 NGINX 오픈 소스 메인라인 버전 1.25.3 또는 이전 버전을 사용하는 경우 영향을 받습니다. NGINX 소프트웨어를 최신 버전으로 업그레이드하는 것을 적극 권장합니다.

NGINX Plus 업그레이드 지침은 NGINX Plus 관리자 가이드의 NGINX Plus 업그레이드를 참조하세요. NGINX Plus 고객은 https://my.f5.com/ 에서 지원팀에 문의하여 도움을 받을 수도 있습니다.