Nginx 1.26.0 爆 HTTP/3 QUIC 漏洞,建议升级更新到 1.27.0

已于 2024-06-01 10:18:38 修改
阅读量2.4k 收藏 18
点赞数 15
分类专栏: LNMP 文章标签: nginx http 运维 HTTP/3
于 2024-06-01 10:16:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cpublic/article/details/139369812
版权

据悉,Nginx 1.25.0-1.26.0 主线版本中涉及四个与 NGINX HTTP/3 QUIC 模块相关的中级数据面 CVE 漏洞,其中三个为 DoS 攻击类型风险,一个为随机信息泄漏风险,影响皆为允许未经身份认证的用户通过构造请求实施攻击。目前已经紧急发布 NGINX 开源版(稳定版)1.26.1 和 NGINX 开源版(主线版)1.27.0 进行了修复,使用了 Nginx 1.25.0-1.26.0 的 HTTP/3 QUIC 的建议尽快升级更新。

Nginx 1.26.0 爆 HTTP/3 QUIC 漏洞,建议升级更新到 1.27.0

四个安全漏洞的影响信息汇总:

CVE-2024-31079

当工作进程重新启动时,客户端流量可能会中断。该漏洞允许未经身份验证的远程攻击者造成拒绝服务(DoS)或其他潜在影响。

This issue has been classified as CWE-121: Stack-based Buffer Overflow.

CVE-2024-32760

当工作进程重新启动时,客户端流量可能会中断。利用该漏洞,未经身份验证的远程攻击者可导致拒绝服务(DoS)或其他潜在影响。

This issue has been classified as CWE-787: Out-of-bounds Write.

CVE-2024-35200

当工作进程重新启动时,客户端流量可能会中断。利用此漏洞,未经身份验证的远程攻击者可导致拒绝服务(DoS)。

This issue has been classified as CWE-476: NULL Pointer Dereference.

CVE-2024-34161

此漏洞允许未经身份验证的远程攻击者获取先前释放的内存信息。可能泄漏的内存是随机的,攻击者无法控制,并且该内存信息的范围不包括 NGINX 配置或私钥。

This issue has been classified as CWE-416 Use After Free.

Nginx 1.26.0 爆 HTTP/3 QUIC 漏洞,建议升级更新到 1.27.0

理论上,使用 Nginx 1.25.0-1.26.0 主线版的只要没有弃用 HTTP/3 QUIC 的是不受这四个漏洞影响的,但明月还是建议尽快更新至 1.27.0 主线版为宜,另外就算用的是 Nginx 1.25.0-1.26.0 主线版并启用了 HTTP/3 QUIC 的话,有 CloudFlare 的加固支持也是勿用担心的,不会受到漏洞影响带来安全威胁,无论如何明月已经第一时间升级更新 Nginx 到 1.27.0 主线版了。

明月登楼
关注
  • 15
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
nginx常见漏洞解析_nginx漏洞
2401_83947255的博客
04-12 1212
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
使用nginx-quic支持HTTP/3
tinychen
03-01 4242
本文主要介绍使用nginx-quic和boringssl项目来对服务器进行升级支持HTTP/3协议。 1、背景介绍 nginx官方从1.19版本开始,新建立了一个分支,专门用来对QUIC进行支持,官网的链接点这里。注意该项目还处于早期的alpha版本,非常不建议用于生产环境。 The code is at an early alpha level of quality and should not be used in production. nginx-quic的安装包可以在下面这里找到,由于还处于
Linux系统下安装配置Nginx(保姆级教程)
最新发布
m0_60485096的博客
07-19 884
Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,需要在服务器上部署项目,用Nginx反向代理前端代码。
安全通告:NGINX HTTP/3 QUIC 漏洞
NGINX开源社区的博客
06-12 1247
F5 于昨晚发布了特别安全通告,涉及四个与 NGINX HTTP/3 QUIC 模块相关的中级数据面 CVE 漏洞,影响皆为允许未经身份认证的用户通过构造请求实施攻击。阅读本文,了解漏洞详情以及相关缓解措施。
Nginx漏洞解析及复现
A526847的博客
06-05 2585
开启这一选项有什么用呢?看名字就知道是对文件路径进行“修理”。举个例子,当php遇到 文件路径“/aaa.xxx/bbb.yyy/ccc.zzz”时,若“/aaa.xxx/bbb.yyy/ccc.zzz”不存在,则会去掉最后的 “/ccc.zzz”,然后判断“/aaa.xxx/bbb.yyy”是否存在,若存在,则把“/aaa.xxx/bbb.yyy”当做文件 “/aaa.xxx/bbb.yyy/ccc.zzz”,若“/aaa.xxx/bbb.yyy”仍不存在,则继续去掉“/bbb.yyy”,以此类推。
LNMP 环境下 Nginx 1.26.0 开启 HTTP/3 QUIC 支持
草根博客站长明月登楼的CSDN博客
05-06 1824
对于使用了国内 CDN 的站点来说,这个 Nginx 里开启 HTTP/3 QUIC 后可能是没有效果的,因为还需要 CDN 层面的支持,国内支持 HTTP/3 QUIC 的好像只有七牛、又拍云,国外 CloudFlare 免费支持 HTTP/3 QUIC 开启的,并且只要 CDN 支持 HTTP/3 QUIC,源站开没开启 HTTP/3 QUIC 都是可以的,所以本文更多的是处于技术学习的范畴了,毕竟现在网站没有 CDN 的保护是不敢想象的,裸奔的服务器和网站在现在的国内互联网生态里太少见了。
Nginx漏洞总结
热门推荐
weixin_42345596的博客
10-08 2万+
Nginx简介 Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。 Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较
Nginx 版本升级方案
askuld的博客
06-11 2667
因发现漏洞、需的版本进行更新,需要用到Nginx服务器提供的平滑升级功能。本文仅做备忘功能。
全网最全windows nginx-1.26.0
05-19
nginx-1.26.0-i686.exe nginx-1.26.0-i686-debug.exe nginx-1.26.0-x86.exe nginx-1.26.0-x86_64-debug.exe nginx-slim-1.26.0-i686.exe nginx-slim-1.26.0-x86_64.exe
nginx-1.26.0最新版本已完成编译可解压直接使用
06-11
2. **安全更新**:新版本通常会修复已知的安全漏洞,确保服务器环境的安全性。 3. **新功能添加**:可能引入了新的模块或者对现有模块的功能扩展,例如支持更多类型的HTTP协议、增加SSL/TLS特性等。 4. **兼容性...
nginx-1.26.0.tar
05-07
nginx-1.26.0.tar,下载后按照,地址(https://blog.csdn.net/jinhuding/article/details/138545989?spm=1001.2014.3001.5501)步骤可直接安装
nginx-1.26.0-1.el6.ngx.x86-64.rpm
04-29
nginx官网不再更新centos6版,此rpm构建于nginx最新稳定版1.26.0
NGINX配置禁用http请求方式
qq_36842015的博客
10-17 3554
Nginx配置禁用http请求
nginx漏洞升级Nginx 1.16.1
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-15 1万+
背景 安全部门扫描发现,某业务主机存在以下漏洞nginx 安全漏洞(CVE-2019-9511) nginx 安全漏洞(CVE-2019-9513) nginx 安全漏洞(CVE-2019-9516) 受影响版本:Nginx 1.9.51 至 16.0版本及1.17.2. 按照建议升级到:Nginx 1.16.1,下载地址:https://nginx.org/download/nginx-1.16.1.tar.gz 过程 1、登录云主机rz上次安装包到系统内,然后解压 2、备份旧版本的nginx的执行
宝塔编译Nginx开启HTTP/3.0+Brotli
u014555255的博客
05-28 2156
宝塔编译Nginx开启HTTP/3.0+Brotli
通过升级nginx完美修复nginx相关漏洞
cooldream2009的博客
07-04 1329
在软件开发完成并交付给客户后,经过一段时间,客户的上级部门要求对服务器进行安全检测。通过漏洞扫描,发现了服务器存在安全漏洞,并要求在规定期限内完成漏洞修补。由于客户通常缺乏技术能力,他们会求助于软件开发公司来协助解决服务器的安全问题。作为软件开发人员,我们不仅会为客户开发软件,还会帮助他们解决服务器安全方面的难题,确保其系统的安全性和稳定性。
Nginx 1.26.1最新版部署笔记
小米bb的博客
06-28 2453
nginx1.26 nginx最新版部署
NginxNginx 最新社区稳定版-1.26.2-发布
cnskylee的博客
04-25 3614
Nginx最新社区稳定版1.26.0发布,带来了一些新的实验性的功能,修复了众多Bug。
linux下安装nginx(阿里云)
ddttxx的博客
06-01 2006
========================================================================yum install -y gcc pcre pcre pcre-devel zlib zlib-devel #一条命令安装所有依赖。1.先去购买一个域名,这里我不做过多的讲解,自己去查询怎么购买,并且开启ssl证书,申请一个证书(有免费的),并且下载他的证书,我们使用的是nginx所以就下载pem/key格式的就可以了。
linux安装nginx 1.26.0
05-29
好的,以下是安装Nginx 1.26.0的步骤: 1.首先需要安装gcc和pcre-devel依赖: ``` yum -y install gcc pcre-devel ``` 2.下载Nginx 1.26.0源码包,可以通过官网下载或者使用wget命令下载: ``` wget http://nginx.org/download/nginx-1.26.0.tar.gz ``` 3.解压源码包: ``` tar -zxvf nginx-1.26.0.tar.gz ``` 4.进入解压后的目录,执行以下命令进行编译和安装: ``` ./configure make make install ``` 5.安装完成后,启动nginx: ``` /usr/local/nginx/sbin/nginx ``` 6.可以通过访问http://localhost来验证是否安装成功。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明月登楼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值