ГлавнаяБаза уязвимостей БДУ → BDU:2024-01328
7.8высокая

BDU:2024-01328

Уязвимость модуля ngx_http_v3_module серверов NGINX и NGINX Plus, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-02-15
Описание

Уязвимость модуля ngx_http_v3_module серверов NGINX и NGINX Plus связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
РЕД ОС (7.3)NGINX Plus (R31)NGINX Plus (R30)nginx (от 1.25.0 до 1.25.3 включительно)Angie (до 1.4.1)Angie PRO (до 1.4.1)
Способ устранения

Использование рекомендаций:
Для NGINX:
https://nginx.org/en/download.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Angie:
https://angie.software/angie/docs/oss_changes/#angie-1-8-2
https://angie.software/angie/docs/pro_changes/#angie-pro-1-8-2

Компенсирующие меры:
Рекомендуется отключить модуль ngx_http_v3_module, используя параметр конфигурации: --with-http_v3_module.
Более подробная информация доступна по ссылке:
https://nginx.org/en/docs/quic.html

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://my.f5.com/manage/s/article/K000138445https://vuldb.com/?id.253881https://www.opennet.ru/opennews/art.shtml?num=60601https://nginx.org/en/CHANGEShttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://angie.software/angie/docs/oss_changes/#angie-1-8-2https://angie.software/angie/docs/pro_changes/#angie-pro-1-8-2
Проверьте безопасность своего сайта и почты → Полная проверка домена