ГлавнаяБаза уязвимостей БДУ → BDU:2024-04388
7.8высокая

BDU:2024-04388

Уязвимость модуля HTTP/3 QUIC (ngx_http_v3_module) веб-серверов NGINX Plus и NGINX OSS, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-06-05
Описание

Уязвимость модуля HTTP/3 QUIC (ngx_http_v3_module) веб-серверов NGINX Plus и NGINX OSS связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданных HTTP/3- запросов

Затрагиваемое ПО и версии
NGINX Plus (R31)NGINX Plus (R30)nginx (от 1.25.0 до 1.25.5 включительно)nginx (1.26.0)Angie (до 1.5.2)Angie PRO (до 1.5.2)
Способ устранения

Компенсирующие меры:
- отключение модуля HTTP/3 в конфигурации NGINX;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций:
https://nginx.org/en/security_advisories.html

Для Angie:
https://angie.software/angie/docs/oss_changes/#angie-1-8-2
https://angie.software/angie/docs/pro_changes/#angie-pro-1-8-2

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://nginx.org/en/security_advisories.htmlhttps://my.f5.com/manage/s/article/K000139609https://mailman.nginx.org/pipermail/nginx-announce/2024/GMY32CSHFH6VFTN76HJNX7WNEX4RLHF6.htmlhttps://www.cybersecurity-help.cz/vdb/SB2024060431https://angie.software/angie/docs/oss_changes/#angie-1-8-2https://angie.software/angie/docs/pro_changes/#angie-pro-1-8-2
Проверьте безопасность своего сайта и почты → Полная проверка домена