更新 NGINX 以修复 HTTP/3 模块中的漏洞

今天，我们发布了 NGINX Plus、NGINX 开源和 NGINX 开源订阅的更新，以应对 HTTP/3 模块ngx_http_v3_module中内部发现的漏洞。 这些漏洞是根据 NGINX 开源中的两个错误报告（ trac #2585和trac #2586 ）发现的。 请注意，此模块默认未启用，并且记录为实验性的。

这些漏洞已在通用漏洞和暴露 (CVE) 数据库中注册，并且F5 安全事件响应团队(F5 SIRT) 已使用通用漏洞评分系统(CVSS v3.1) 标准为其分配了分数。

HTTP/3 模块中的以下漏洞适用于 NGINX Plus、NGINX 开源订阅和 NGINX 开源。

CVE-2024-24989 ： 以下软件版本包含此漏洞的补丁：

• NGINX Plus R31 P1
• NGINX 开源订阅 R6 P1
• NGINX 开源主线版本1.25.4。 （最新的NGINX开源稳定版本1.24.0不受影响。）

CVE-2024-24990 ： 以下软件版本包含此漏洞的补丁：

• NGINX Plus R30 P2
• NGINX Plus R31 P1
• NGINX 开源订阅 R5 P2
• NGINX 开源订阅 R6 P1
• NGINX 开源主线版本1.25.4。 （最新的NGINX开源稳定版本1.24.0不受影响。）

如果您正在运行 NGINX Plus R30 或 R31、NGINX 开源订阅包 R5 或 R6 或 NGINX 开源主线版本 1.25.3 或更早版本，则会受到影响。 我们强烈建议您将 NGINX 软件升级到最新版本。

有关 NGINX Plus 升级说明，请参阅 NGINX Plus 管理指南中的升级 NGINX Plus 。 NGINX Plus 客户还可以通过https://my.f5.com/联系我们的支持团队寻求帮助。