【漏洞预警】 Nginx 0day 漏洞来袭

原创一个不正经的黑客一个不正经的黑客 2024-02-15 20:45

[漏洞预警] Nginx 0day 漏洞来袭

漏洞已经被分配CVE编号:

CVE-2024-24989, CVE-2024-24990

NGINX，作为无数高流量网站背后的工作核心，已发布了紧急补丁（版本1.25.4），以解决其实验性HTTP/3实现中潜伏的两个关键漏洞（CVE-2024-24989，CVE-2024-24990）。虽然这种更新更快的协议提升了网络性能，但其领先性质也引入了潜在的安全风险。

如果未修复，这些漏洞将为威胁行为者打开大门，导致以下情况发生：
1. 服务器崩溃：对易受攻击的NGINX服务器发送恶意设计的QUIC会话可能触发工作进程崩溃，导致广泛的拒绝服务（DoS）。

进一步利用：尽管确切的范围仍在调查中，但CVE-2024-24990暗示了可能超出简单崩溃的更深入的妥协。
CVE-2024-24989和CVE-2024-24990的CVSS评分均为7.5。“该漏洞允许远程未经身份验证的攻击者在NGINX系统上引发拒绝服务（DoS）”，F5警告道。

受影响人群：

如果您的NGINX配置符合以下条件，则您受到这些漏洞的影响：
1. NGINX版本介于1.25.0和1.25.3之间。

立即采取行动：
1. 立即升级：如果您的系统容易受到攻击，请勿拖延。升级到NGINX版本1.25.4以应用必要的补丁。

遗憾的是，没有简单的解决方案或临时修复方法。禁用HTTP/3是减轻这些特定缺陷的唯一可靠方法。

展望未来：

F5，NGINX背后的公司，建议在目前在生产环境中极度谨慎使用HTTP/3。虽然该协议承诺更快的速度和韧性，但在其早期采用阶段可能存在安全问题。

这一事件强调了在采用前沿网络技术时进行严格测试和威胁建模的重要性。

如需深入了解HTTP/3安全性或详细的配置说明，请查阅官方NGINX安全通告中的相关链接。

https://nginx.org/en/docs/http/ngx_http_v3_module.html

NGINX Releases Urgent Patch for HTTP/3 Vulnerabilities (CVE-2024-24989, CVE-2024-24990)

往期推荐

THE GOD OF WEALTH

点个
在看你最好看