|
|
涉及四个与 NGINX HTTP/3 QUIC 模块相关的中级数据面 CVE 漏洞,其中三个为 DoS 攻击类型风险,一个为随机信息泄漏风险,影响皆为允许未经身份认证的用户通过构造请求实施攻击。
受影响版本:
- NGINX 开源版 1.25.0 - 1.26.0
- NGINX Plus R30 - R31
客户将软件更新到安全公告中的版本,或禁用 HTTP/3 QUIC 模块以避免造成负面影响。
修复版本:
- NGINX 开源版(稳定版)1.26.1
- NGINX 开源版(主线版)1.27.0
- NGINX Plus R32
- NGINX 企阅版 R6 P2
需要注意的是,ngx_http_v3_module 对于 NGINX 开源版来说不是默认编译组件,而对于 NGINX Plus R30 以上版本则为默认编译组件。请用户自行检查是否编译了 ngx_http_v3_module 模块且配置并启用了HTTP/3 QUIC功能。如未使用该功能,则不受影响。 |
|
发表于 2024-6-5 15:41:46
