全球主机交流论坛

标题: NGINX HTTP/3 QUIC 漏洞 [打印本页]

作者: mjj天下第一 时间: 2024-6-5 15:41
标题: NGINX HTTP/3 QUIC 漏洞
涉及四个与 NGINX HTTP/3 QUIC 模块相关的中级数据面 CVE 漏洞，其中三个为 DoS 攻击类型风险，一个为随机信息泄漏风险，影响皆为允许未经身份认证的用户通过构造请求实施攻击。

受影响版本：

- NGINX 开源版 1.25.0 - 1.26.0

- NGINX Plus R30 - R31

客户将软件更新到安全公告中的版本，或禁用 HTTP/3 QUIC 模块以避免造成负面影响。

修复版本：

- NGINX 开源版（稳定版）1.26.1

- NGINX 开源版（主线版）1.27.0

- NGINX Plus R32

- NGINX 企阅版 R6 P2

需要注意的是，ngx_http_v3_module 对于 NGINX 开源版来说不是默认编译组件，而对于 NGINX Plus R30 以上版本则为默认编译组件。请用户自行检查是否编译了 ngx_http_v3_module 模块且配置并启用了HTTP/3 QUIC功能。如未使用该功能，则不受影响。

作者: mark1234 时间: 2024-6-5 15:54
不好意思我是自己编译的rpm包

作者: HOH 时间: 2024-6-5 15:55
2都没用就来3了

作者: Mio 时间: 2024-6-5 16:15
又要忙活半天了。。

作者: haozi 时间: 2024-6-5 18:41
都小问题，linux内核提权那个CVE-2024-1086才是要注意的

作者: acm 时间: 2024-6-5 18:58
http version:1.1

作者: andx 时间: 2024-6-5 19:50

作者: xjjmjj 时间: 2024-6-5 21:41
还好用的1.18

作者: 88232128 时间: 2024-6-5 21:43
阿西吧，真能闹，才引入就整BUG

欢迎光临全球主机交流论坛 (https://loc.fffk.eu.org/)