NGINX 持续致力于保障用户安全

F5 NGINX 致力于安全的软件生命周期，包括优化的设计、开发和测试，以便在发布之前发现安全问题。 虽然我们优先考虑威胁建模、安全编码、培训和测试，但漏洞偶尔还是会出现。

上个月，NGINX 开源社区的一名成员报告了 HTTP/3 模块中的两个错误，这两个错误导致 NGINX 开源崩溃。 我们发现，恶意行为者可以通过发送特制的 HTTP/3 请求对 NGINX 实例发起拒绝服务攻击。 为此，NGINX刚刚公布了两个漏洞： CVE-2024-24989 和 CVE-2024-24990 。

这些漏洞已在通用漏洞和暴露 (CVE) 数据库中注册， F5 安全事件响应团队(F5 SIRT) 已使用通用漏洞评分系统(CVSS v3.1) 标准对其进行了评分。

发布时，NGINX 中的 QUIC 和 HTTP/3 功能被认为是实验性的。 从历史上看，我们不会为实验性功能发布 CVE，而是修补相关代码并将其作为标准版本的一部分发布。 对于 NGINX Plus 的商业客户，之前的两个版本将会进行修补并发布给客户。 我们认为，不为 NGINX 开源发布类似的补丁会对我们的社区造成伤害。 此外，在开源分支中修复该问题会使用户面临漏洞，而无需提供二进制文件。

我们决定为 NGINX Open Source 和 NGINX Plus 发布补丁，这是为了做正确的事情——为我们的客户和社区提供高度安全的软件。 此外，我们承诺记录并发布明确的政策，说明如何及时、透明地解决未来的安全漏洞。