NGINX HTTP/3 모듈의 취약점에 대한 업데이트

내부적으로 발견된 NGINX HTTP/3 모듈인 ngx_http_v3_module의 취약점에 대응하여 NGINX Plus, NGINX 오픈 소스 및 NGINX 오픈 소스 구독에 대한 업데이트를 릴리스합니다. 이러한 취약점은 NGINX 오픈 소스에서 두 개의 버그 보고서(trac #2585 그리고 trac #2586)를 기반으로 발견되었습니다. 이 모듈은 기본적으로는 활성화되어 있지 않으며, 실험적인 것으로 문서화되어 있습니다.

이 NGINX HTTP/3 취약점은 공통 취약점 및 노출(CVE) 데이터베이스에 등록되었으며, F5 Security Incident Response Team(F5 SIRT)은 Common Vulnerability Scoring System(CVSS v3.1) 척도를 사용하여 점수를 할당했습니다.

NGINX HTTP/3 모듈의 다음 취약점은 NGINX Plus, NGINX 오픈 소스 및 NGINX 오픈 소스 구독에 적용됩니다.

CVE-2024-24989: 이 취약점에 대한 패치는 다음 소프트웨어 버전에 포함되어 있습니다:

• NGINX Plus R31 P1
• NGINX Open Source Subscription R6 P1
• NGINX Open Source mainline version 1.25.4(최신 NGINX 오픈 소스 안정 버전 1.24.0은 영향을 받지 않습니다.)

CVE-2024-24990: 이 취약점에 대한 패치는 다음 소프트웨어 버전에 포함되어 있습니다:

• NGINX Plus R30 P2
• NGINX Plus R31 P1
• NGINX Open Source Subscription R5 P2
• NGINX Open Source Subscription R6 P1
• NGINX Open Source mainline version 1.25.4 (최신 NGINX 오픈 소스 안정 버전 1.24.0은 영향을 받지 않습니다.)

이 NGINX HTTP/3 에 대한 취약점은 NGINX Plus R30 또는 R31, NGINX Open Source Subscription package R5 또는 R6 또는 NGINX Open Source mainline version 1.25.3 이하를 실행하는 경우 영향을 받습니다. NGINX 소프트웨어를 최신 버전으로 업그레이드할 것을 강력히 권장합니다.

NGINX Plus 업그레이드 지침은 NGINX Plus 가이드에서 NGINX Plus 업그레이드를 참조하세요.

NGINX Plus를 직접 사용해 보시려면 30일 무료 평가판을 신청하거나, NGINX STORE에 연락하여 논의하십시오.

NGINX에 대한 최신 정보들을 빠르게 전달받고 싶으시다면, 아래의 뉴스레터를 구독하세요.