共计 389 个字符,预计需要花费 1 分钟才能阅读完成。
涉及四个与 NGINX HTTP/3 QUIC 模块相关的中级数据面 CVE 漏洞,其中三个为 DoS 攻击类型风险,一个为随机信息泄漏风险,影响皆为允许未经身份认证的用户通过构造请求实施攻击。
受影响版本:
– NGINX 开源版 1.25.0 – 1.26.0
– NGINX Plus R30 – R31
客户将软件更新到安全公告中的版本,或禁用 HTTP/3 QUIC 模块以避免造成负面影响。
修复版本:
– NGINX 开源版(稳定版)1.26.1
– NGINX 开源版(主线版)1.27.0
– NGINX Plus R32
– NGINX 企阅版 R6 P2
需要注意的是,ngx_http_v3_module 对于 NGINX 开源版来说不是默认编译组件,而对于 NGINX Plus R30 以上版本则为默认编译组件。请用户自行检查是否编译了 ngx_http_v3_module 模块且配置并启用了 HTTP/3 QUIC 功能。如未使用该功能,则不受影响。
正文完
