[TLP:CLEAR] F5 NGINX opravuje 4 zraniteľnosti
F5 opravuje 4 zraniteľnosti v produkte NGINX. Zraniteľnosť bola opravená vo verziách 1.27.0 a 1.26.1 pre NGINX Open Source a vo verziách R32 a R31P2 pre NGINX Plus [2][1][4][3].
Neautentizovanému vzdialenému útočníkovi je umožnené spôsobiť DoS útok alebo prepísať dáta v pamäti. Zraniteľnosť je zneužiteľná iba v prípade, že je NGINX nakonfigurovaný, aby používal HTTP/3 QUIC modul [1].
Zraniteľnosť sa nachádza v produktoch:
- NGINX Plus vo verziách >=R30 AND <R31P2
- NGINX Open Source vo verziách >=1.25.0 AND <1.26.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
Viac informácií:
- CVE-2024-32760 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 29. 5. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k určitým častiam pamäte. Zraniteľnosť je zneužiteľná iba v prípade, že je NGINX nakonfigurovaný, aby používal HTTP/3 QUIC modul a sieťová infraštruktúra podporuje maximálnu velkosť paketu 4096B a viac [2].
Zraniteľnosť sa nachádza v produktoch:
- NGINX Plus vo verziách >=R30 AND <R31P2
- NGINX Open Source vo verziách >=1.25.0 AND <1.26.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Viac informácií:
- CVE-2024-34161 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 29. 5. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok. Zraniteľnosť je zneužiteľná iba v prípade, že je NGINX nakonfigurovaný, aby používal HTTP/3 QUIC modul. Zneužitie taktiež závisí od správneho načasovania zasielaných požiadaviek [3].
Zraniteľnosť sa nachádza v produktoch:
- NGINX Plus vo verziách >=R30 AND <R31P2
- NGINX Open Source vo verziách >=1.25.0 AND <1.26.1
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:L
Viac informácií:
- CVE-2024-31079 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-121: Stack-based Buffer Overflow at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 29. 5. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok. Zraniteľnosť je zneužiteľná iba v prípade, že je NGINX nakonfigurovaný, aby používal HTTP/3 QUIC modul [4].
Zraniteľnosť sa nachádza v produktoch:
- NGINX Plus vo verziách >=R30 AND <R31P2
- NGINX Open Source vo verziách >=1.25.0 AND <1.26.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Viac informácií:
- CVE-2024-35200 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-476: NULL Pointer Dereference at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 29. 5. 2024.
Odkazy
Publikoval Martin Krajči dňa 30. 5. 2024.
