ГлавнаяБаза уязвимостей БДУ → BDU:2024-01321
7.8высокая

BDU:2024-01321

Уязвимость модуля HTTP/3 QUIC веб-серверов NGINX Plus, NGINX OSS, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-02-15
Описание

Уязвимость модуля HTTP/3 QUIC веб-серверов NGINX Plus, NGINX OSS связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путём отправки специально сформированных запросов

Затрагиваемое ПО и версии
РЕД ОС (7.3)NGINX Plus (R31)NGINX Plus (R30)nginx (от 1.25.0 до 1.25.3 включительно)Angie (до 1.4.1)Angie PRO (до 1.4.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение модуля HTTP/3 в конфигурации NGINX;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
Для NGINX:
https://nginx.org/en/security_advisories.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Angie:
https://angie.software/angie/docs/oss_changes/#angie-1-8-2
https://angie.software/angie/docs/pro_changes/#angie-pro-1-8-2

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://nginx.org/en/security_advisories.htmlhttps://my.f5.com/manage/s/article/K000138444http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://angie.software/angie/docs/oss_changes/#angie-1-8-2https://angie.software/angie/docs/pro_changes/#angie-pro-1-8-2
Проверьте безопасность своего сайта и почты → Полная проверка домена