Compromisso contínuo da NGINX em proteger usuários em ação

O F5 NGINX está comprometido com um ciclo de vida de software seguro, incluindo design, desenvolvimento e testes otimizados para encontrar problemas de segurança antes do lançamento. Embora priorizemos modelagem de ameaças, codificação segura, treinamento e testes, vulnerabilidades ocorrem ocasionalmente.

No mês passado, um membro da comunidade NGINX Open Source relatou dois bugs no módulo HTTP/3 que causaram uma falha no NGINX Open Source. Determinamos que um agente mal-intencionado poderia causar um ataque de negação de serviço em instâncias do NGINX enviando solicitações HTTP/3 especialmente criadas. Por esse motivo, o NGINX acaba de anunciar duas vulnerabilidades: CVE-2024-24989 e CVE-2024-24990 .

As vulnerabilidades foram registradas no banco de dados Common Vulnerabilities and Exposures (CVE), e a F5 Security Incident Response Team (F5 SIRT) atribuiu a elas pontuações usando a escala Common Vulnerability Scoring System (CVSS v3.1).

Após o lançamento, os recursos QUIC e HTTP/3 no NGINX foram considerados experimentais. Historicamente, não emitimos CVEs para recursos experimentais e, em vez disso, corrigimos o código relevante e o lançamos como parte de uma versão padrão. Para clientes comerciais do NGINX Plus, as duas versões anteriores seriam corrigidas e lançadas aos clientes. Sentimos que não lançar um patch semelhante para o NGINX Open Source seria um desserviço à nossa comunidade. Além disso, corrigir o problema no branch de código aberto teria exposto os usuários à vulnerabilidade sem fornecer um binário.

Nossa decisão de lançar um patch para o NGINX Open Source e o NGINX Plus está enraizada em fazer o que é certo: fornecer software altamente seguro para nossos clientes e comunidade. Além disso, estamos nos comprometendo a documentar e divulgar uma política clara sobre como futuras vulnerabilidades de segurança serão abordadas de maneira oportuna e transparente.